UK GDPR efter Brexit: Vad förändrades
UK Data Protection Act 2018 förde in UK GDPR i lag. Det ligger nära EU GDPR — men inte på alla punkter. Om du verkar i både UK och EU möter du två separata efterlevnadskontroller.
Vad som är oförändrat:
- Sex rättsliga grunder för behandling
- Registrerades rättigheter: tillgång, radering, rättelse, portabilitet
- 72 timmars underrättelseplikt till tillsynsmyndigheten vid intrång
- Inbyggt dataskydd och dataskydd som standard
Vad som förändrats:
- UK fattar egna adekvansbeslut för gränsöverskridande överföringar
- Brittisk AI-vägledning från 2023–2024 går längre än EDPB:s
- Brittiska forskningsundantag är något bredare än EU:s
- Tillsynsmyndigheten skiftar från rådgivning till böter — snabbare än tidigare
Klyftan mellan brittiska och europeiska regler är verklig. Behandla dem som två separata checklistor.
LastPass-boten: Kryptering är nu ett rättsligt test
I december 2025 bötesfällde ICO LastPass UK £1,2 miljoner för en bristfällig krypteringslösning. Detta är det viktigaste brittiska GDPR-beslutet om teknisk säkerhet hittills.
Vad tillsynsmyndigheten fann: LastPass lagrade valvposter med serverbaserade nycklar. Den som nådde servern kunde läsa valvet. Beslutet slog fast att detta bröt mot testet för "lämpliga tekniska åtgärder" i UK GDPR Artikel 32.
Nyckelformuleringen i beslutet: "Den personuppgiftsansvarige borde ha använt klientsideskryptering. Det hade hållit användarnas valvposter skyddade även om servern hade inträngts."
Vad detta fastslår: Om ett säkrare alternativ finns och är genomförbart kan användning av det svagare bryta Artikel 32. Serversidesnyckelhantering är inte längre en säker standard för känsliga uppgifter.
Vem som riskerar: Alla tjänster som lagrar känsliga uppgifter och behåller krypteringsnycklar på egna servrar. Det inkluderar verktyg som loggar text för revisionsändamål, användningsstatistik eller dokumenthistorik. Om servern kan läsa texten kan tillsynsmyndigheter fråga varför klientsidedesign inte användes. Se hur anonym.legal hanterar detta med zero-knowledge-arkitektur.
Brittisk AI-vägledning: Åtta tekniska regler
Den brittiska tillsynsmyndigheten publicerade detaljerad AI-vägledning under 2023–2024. Den täcker åtta specifika krav för generativa AI-system. EU:s jämförbara vägledning är mindre detaljerad.
1. Ursprung för träningsdata — AI tränad på personuppgifter måste logga varifrån datan kom och vilka rensningssteg som vidtogs.
2. Övervakning av utdata — System som producerar personliga utdata måste ha kontroller för att fånga upp och stoppa oönskade röjanden.
3. Ändamålsbegränsning — Uppgifter som används för AI-träning måste motsvara det angivna ändamålet. Generell träning på kunduppgifter kräver en tydlig rättslig grund.
4. Rättigheter vid automatiserade beslut — Om din AI fattar viktiga beslut om en person måste den stödja tillgång, förklaring och överklagande.
5. Biasövervakning — System som använder skyddade egenskaper — direkt eller via slutledning — måste ha biaskontroller.
6. Minimering inför finjustering — Du måste reducera personuppgifter innan finjustering. En policy är inte tillräcklig.
7. Radering ur modellvikter — Om uppgifter ingår i modellvikter behöver du en plan för att hantera raderingsförfrågningar. Tekniska eller likvärdiga skyddsåtgärder krävs.
8. Granskning av tredjeparts-AI — Om du använder ett annat företags AI måste du kontrollera och dokumentera dess efterlevnad av alla åtta punkter.
Dessa åtta regler utgör en praktisk checklista för varje brittisk AI-driftsättning.
Brittisk tillsyn: Skiftet mot böter
Tillsynsmyndigheten föredrog tidigare vägledningsbrev framför sanktioner. Det förändras. Senaste åtgärderna visar ett tydligt mönster:
| Åtgärd | Belopp | År | Orsak |
|---|---|---|---|
| British Airways | £20 miljoner | 2020 | Intrång — svag säkerhet |
| Marriott International | £18,4 miljoner | 2020 | Intrång — bristfällig tillbörlig aktsamhet |
| LastPass UK | £1,2 miljoner | 2025 | Krypteringsdesignfel |
| Electoral Commission | £4,4 miljoner (reprimand) | 2023 | Opatchad server |
67 tillsynsförelägganden utfärdades 2024 — rekord. LastPass-fallet är anmärkningsvärt eftersom boten gällde ett designval, inte bara ett intrångsutfall. Tillsynsmyndigheterna granskade hur LastPass byggde sitt system. Det är nytt.
UK–EU-överföringar: Risk i båda riktningar
Brittiska organisationer som hanterar EU-personuppgifter möter skyldigheter från båda håll.
Från EU till UK: EU beviljade UK ett adekvansbes lut 2021. Det gäller fortfarande. Men det är under rättslig prövning. Förlita dig inte på det ensamt — standardavtalsklausuler (SCC) är ett rimligt komplement.
Från UK till EU: Ingen nuvarande regel hindrar överföring av brittiska uppgifter till EU-personuppgiftsbiträden. Men ett EU-biträde som hanterar brittiska uppgifter kan ändå utlösa EU GDPR-regler på sin sida.
Praktiskt steg: Skriv din UK GDPR-position och din EU GDPR-position som två separata dokument. Notera var de stämmer överens och var de skiljer sig. Det är det underlag du behöver om en tillsynsmyndighet frågar. Vår efterlevnadsöversikt kartlägger båda sidorna.
För en djupare genomgång av zero-knowledge-design och hur den hanterar serverintrångsrisken som identifierades i LastPass, läs vår sida om säkerhets- och integritetsarkitektur.
Källor
- ICO: UK GDPR-vägledning och resurser — VERIFIED-EXTERNAL
- ICO: LastPass tillsynsföreläggande, december 2025 — VERIFIED-EXTERNAL
- ICO: AI och dataskyddsvägledning — VERIFIED-EXTERNAL
- ICO: Tillsynsårsrapport 2024 — VERIFIED-EXTERNAL