UK:s lag om dataskydd och digital information (DPDI) Act 2025 gör 14 betydande avvikelser från EU GDPR — vilket skapar den första substantiella regulatoriska avvikelsen mellan EU:s och UK:s dataskyddsramar sedan Brexit. EU-UK:s adekvansbeslut, som ursprungligen var giltigt till juni 2025 och förlängdes i väntan på granskning, står inför ökad granskning från GDPR-praktiker och Europeiska kommissionen.
LastPass-verkställighet: UK GDPR:s tekniska riktmärke
ICO:s böter på £1,2 miljoner mot LastPass UK i december 2025 är UK:s mest betydande fall av teknisk säkerhetsverkställighet. ICO fann:
Krypteringsbrister: LastPass lagrade kundernas huvudlösenordsvalv med föråldrad kryptering som ICO fann vara "otillräcklig" enligt UK GDPR Artikel 32. Specifikt fann ICO att vissa valviterationer använde PBKDF2-SHA256 med endast 1 iteration — långt under UK NCSC:s minimirekommendation på 600 000 iterationer för lösenordsbaserade nycklar.
Den rättsliga standarden fastställd: UK GDPR Artikel 32 kräver "lämpliga tekniska åtgärder" som återspeglar "den tekniska utvecklingen." ICO fann att "den tekniska utvecklingen" för krypteringsnyckelavledning 2022 (när överträdelsen inträffade) krävde långt mer än vad LastPass tillhandahöll. Detta fastställer att säkerhetsstandarder utvecklas — vad som var acceptabelt 2015 kanske inte är acceptabelt 2022.
Direkt påverkan på krypteringsverktyg: Organisationer som använder databehandlingsverktyg måste verifiera att dessa verktygs krypteringsimplementationer uppfyller aktuella "den tekniska utvecklingen"-standarder, inte bara minimala baslinjestandarder. ICO:s LastPass-verkställighet gör leverantörers krypteringskvalitet till ett direkt auditerbart efterlevnadskrav.
DPDI Act 2025: Nyckelavvikelser från EU GDPR
DPDI Act gör 14 identifierade avvikelser från EU GDPR. De mest operativt betydelsefulla:
1. Reform av legitima intressen: DPDI Act skapar en lista över "erkända legitima intressen" som inte kräver EU GDPR:s avvägningstest mot dataskyddsintressen. Detta gör legitima intressen till en mer tillgänglig rättslig grund för UK-organisationer — vilket minskar samtyckeskraven för viss kommersiell behandling.
2. Forskning, statistik och arkivering: DPDI Act breddar forskningsundantaget avsevärt, vilket möjliggör bredare sekundär användning av personuppgifter för forskningsändamål utan de explicita samtyckeskrav som EU GDPR ålägger.
3. Automatiserat beslutsfattande: DPDI Act:s ersättning för GDPR Artikel 22 (rättigheter för automatiserat beslutsfattande) är mer tillåtande för kommersiella automatiserade beslut. Kravet på meningsfull mänsklig granskning har lättats för vissa kategorier av automatiserad behandling.
4. Dokumentation: DPDI Act tar bort obligatoriska ROPA (register över behandlingsaktiviteter) krav för små organisationer (under 250 anställda) utan "systematisk" behandling. EU GDPR kräver ROPA för alla organisationer vars behandling inte är tillfällig.
5. Cookiesamtycke: DPDI Act inkluderar bestämmelser för "cookie-fria alternativ" och minskar samtyckeskraven för analyscookies — specifikt utformade för att minska bördan av cookiesamtyckesbanner. EU GDPR:s ePrivacy-krav (som verkställs parallellt) kräver fortfarande samtycke för spårningscookies.
6. Internationella överföringar: DPDI Act ger UK:s statssekreterare bredare befogenheter att bevilja adekvansbeslut — vilket potentiellt tillåter UK att bevilja adekvans till länder som EU inte har, vilket skapar avvikande överföringsramar.
Adekvansrisken: Vad kan utlösa EU-granskning
EU-kommissionens adekvansgranskning av UK kommer att bedöma om UK GDPR (som modifierats av DPDI Act) ger "i huvudsak likvärdigt" skydd som EU GDPR:
Områden av oro identifierade av EU-övervakare:
- DPDI Act:s utvidgning av legitima intressen kan skapa luckor som EU anser vara otillräckliga
- UK:s övervakningslag (Investigatory Powers Act 2016) förblir oförenlig med GDPR-standarder enligt CJEU-precedens i relaterade fall
- UK-US datadelning enligt CLOUD Act skapar potential för EU-dataexponering för amerikansk lagstiftning
Om adekvans upphävs eller återkallas: 10 000+ UK-EU Standard Contractual Clause-arrangemang skulle behöva aktiveras omedelbart. Organisationer som för närvarande förlitar sig enbart på adekvans för UK-EU-överföringar skulle stå inför efterlevnadsgap.
Upprätthålla dubbel EU + UK GDPR-efterlevnad
För organisationer som omfattas av både EU GDPR och UK GDPR, den praktiska metoden:
Använd den strängare standarden som baslinje: EU GDPR Artikel 32, GDPR:s avvägningstest för legitima intressen och GDPR:s krav på automatiserat beslutsfattande är strängare än sina DPDI Act-motsvarigheter. Organisationer som uppfyller EU GDPR-standarder uppfyller automatiskt UK GDPR-standarder (med mindre UK-specifika tillägg).
Dokumentera båda rättsliga grunder: För behandling under legitima intressen, dokumentera både EU GDPR:s avvägningstest och att behandlingen skulle falla inom UK DPDI Act erkända legitima intressen. Dubbel dokumentation skyddar mot avvikelse.
Övervaka adekvansbeslutets status: Resultatet av adekvansgranskningen 2026 kommer att avgöra om separata överföringsmekanismer behövs för UK-EU-överföringar. Organisationer bör behålla SCC som en backup-mekanism även om de för närvarande förlitar sig på adekvans.
Kryptering till aktuell teknikstandard: ICO:s LastPass-verkställighet gör leverantörers krypteringsstandarder till en aktiv efterlevnadsövervägande. Verifiera att PII-verktyg, datalagringslösningar och nyckelhanteringsimplementationer använder aktuella rekommenderade parametrar (AES-256-GCM, argon2id för nyckelavledning med aktuella parameterrekommendationer).
UK:s efter-Brexit GDPR-avvikelse representerar den första betydande splittringen av EU:s dataskyddsstandarder. För organisationer som verkar över båda jurisdiktionerna är den säkraste hållningen att utforma för de mest stränga tillämpliga kraven — som förblir EU GDPR:s kärntekniska standarder.
Källor: