UK GDPR Post-Brexit: Avvikelse och kontinuitet
Den brittiska dataskyddslagen 2018, som inkluderar UK GDPR, speglar EU GDPR nära — men med betydande avvikelser som skapar distinkta efterlevnadskrav för organisationer som verkar i Storbritannien.
Kontinuitet:
- Samma sex lagliga grunder för behandling
- Samma rättigheter för registrerade (åtkomst, radering, rättelse, portabilitet)
- Samma ansvarighetsprincip och dokumentationskrav
- Samma skyldighet att anmäla dataintrång (72 timmar till ICO)
- Samma krav på dataskydd genom design och som standard
Avvikelser:
- Adekvansregim: Storbritannien har sina egna adekvansbeslut för internationella datatransfereringar; EU:s adekvans för brittiska datatransfereringar upprätthålls men ifrågasätts
- AI-vägledning: ICO utfärdade dedikerad AI-vägledning (2023-2024) som är mer detaljerad än EDPB:s jämförbara vägledning
- Biometriska data: Storbritanniens behandling av biometriska data har mindre definierande skillnader
- Forskningsundantag: Storbritanniens undantag för forskning och statistik är något bredare än EU:s motsvarigheter
- Tillsynskultur: ICO har historiskt fokuserat på utbildning och vägledning innan böter; detta förändras med nyligen stora tillsynsåtgärder
För organisationer som verkar både i EU och Storbritannien skapar UK GDPR en parallell efterlevnadsskyldighet som kräver bedömning av både EU GDPR och UK GDPR krav — de är inte identiska.
LastPass ICO-böter: Fastställande av kryptering som lagligt krav
ICO:s böter i december 2025 mot LastPass UK (1,2 miljoner pund) är det banbrytande UK GDPR-fallet för krypteringsstandarder. Tillsynsmeddelandet fastställde flera principer med breda konsekvenser:
Den centrala slutsatsen: LastPass krypteringsarkitektur — som lagrade användarens valvdata med serveråtkomliga krypteringsnycklar — befanns vara otillräcklig enligt UK GDPR Artikel 32. ICO fann att "den personuppgiftsansvarige borde ha implementerat kryptering på klientsidan, vilket skulle ha säkerställt att även i händelse av ett serverintrång, skulle användarens valvdata inte vara tillgänglig för obehöriga parter."
Vad detta innebär: ICO har fastställt att där en mer integritetsbevarande arkitektur finns (kryptering på klientsidan) och är tekniskt genomförbar, kan användning av en mindre integritetsbevarande arkitektur (kryptering på serversidan) inte uppfylla standarden för "lämpliga tekniska åtgärder" i Artikel 32.
Bredare konsekvenser: Organisationer som lagrar känsliga data med hjälp av kryptering på serversidan — där leverantörens servrar har krypteringsnycklar — kan möta ICO:s granskning om ett intrång inträffar. Tillsynsmeddelandet anger uttryckligen att "tekniska åtgärder måste vara proportionerliga mot risken, och där risken för obehörig åtkomst till känsliga personuppgifter är hög, kan den lämpliga åtgärden kräva hantering av nycklar på klientsidan."
För PII-anonymisering verktyg: om en leverantörs anonymiseringstjänst lagrar klartext av bearbetade dokument på serversidan (för revisionsloggar, användningsanalys eller funktioner som dokumenthistorik), skapar detta en serveråtkomlig databas som kanske inte uppfyller ICO:s standard efter LastPass för känsliga data.
ICO:s AI-vägledning: Tekniska krav för generativ AI
ICO utfärdade omfattande AI-vägledning 2023-2024, som täcker åtta specifika tekniska krav för generativa AI-system — mer detaljerade än EU:s motsvarande vägledning:
1. Auditerbarhet av träningsdata: AI-system som tränas på personuppgifter måste ha dokumenterad härkomst av träningsdata, inklusive anonymiseringsprocedurer som tillämpas.
2. Övervakning av utdata: System som genererar personuppgiftsutdata måste ha övervakningskontroller för att upptäcka och förhindra olämplig datadisklusion.
3. Syftesbegränsning i träning: Personuppgifter som används för träning måste begränsas till det specifika syftet — träning av AI för allmänna syften med kunddata kräver uttrycklig rättslig grund.
4. Individuella rättigheter i automatiserat beslutsfattande: AI-system som fattar betydande beslut om individer måste implementera tekniska kontroller för att underlätta individuella rättigheter (åtkomst, förklaring, överklagande).
5. Bias-auditering: System som behandlar skyddade egenskaper (direkt eller genom slutsatser) måste ha teknisk övervakning av bias.
6. Dataminimering vid finjustering: Finjustering på personuppgifter måste tillämpa minimering före träning — inte bara anonymiseringspolicyer utan teknisk implementering.
7. Bevarande i träning: Personuppgifter som ingår i modellvikter måste kunna adresseras för raderingsförfrågningar (tekniska eller motsvarande skyddsåtgärder krävs).
8. Due diligence för tredjepartsmodeller: Organisationer som använder tredjeparts AI-system måste bedöma och dokumentera dessa systemens tekniska efterlevnad av dessa krav.
Dessa åtta krav skapar en teknisk implementeringschecklista för brittiska AI-implementeringar.
ICO:s tillsynstrender: Från vägledning till böter
ICO har historiskt föredragit utbildning och tillsynsmeddelanden framför stora böter. Detta förändras:
- LastPass (dec 2025): 1,2 miljoner pund — tekniskt säkerhetsfel (krypteringsarkitektur)
- Valmyndigheten (2023): 4,4 miljoner pund reprimand (inga böter) — säkerhetsfel (servern var inte uppdaterad)
- British Airways (2019, löst 2020): 20 miljoner pund — dataintrång från cyberattack på grund av otillräcklig säkerhet
- Marriott International (2019, löst 2020): 18,4 miljoner pund — dataintrång från otillräcklig due diligence
ICO utfärdade 67 tillsynsmeddelanden 2024 — ett rekordhögt antal — vilket tyder på en ökad vilja att använda formell tillsyn.
Böterna mot LastPass är särskilt betydelsefulla eftersom de riktade sig mot ett beslut om krypteringsarkitektur, inte bara ett intrångsresultat. Detta tyder på att ICO kommer att granska tekniska designval, inte bara svar på intrång.
UK-EU Datatransfereringar
Brittiska organisationer som betjänar EU-kunder eller tar emot EU-personuppgifter står inför den dubbla efterlevnadsskyldigheten:
- UK GDPR gäller för brittisk behandling
- EU GDPR gäller för EU-personuppgifter
För datatransfereringar från EU till Storbritannien: EU:s adekvansbeslut för Storbritannien (beviljat 2021) förblir giltigt men är föremål för granskning och rättslig utmaning. Organisationer bör inte helt förlita sig på brittisk adekvans — standardavtalade klausuler förblir en rekommenderad ytterligare skyddsåtgärd.
För brittiska organisationer som använder EU-baserade molntjänster: överföringen från Storbritannien till EU är för närvarande inte begränsad (inga EU-restriktioner på brittiska datatransfereringar), men EU-leverantörens behandling av brittiska personuppgifter kan utlösa EU GDPR-krav för behandlaren.
Praktisk vägledning: organisationer med EU-UK datatransfereringar bör dokumentera både sin efterlevnadshållning för UK GDPR och sin efterlevnadshållning för EU GDPR separat, och notera var de är ekvivalenta och var UK-specifika krav gäller.
Källor: