anonym.legal

By · Last updated 2026-06-05

กลับไปที่บล็อกGDPR & การปฏิบัติตาม

ICO สหราชอาณาจักร: ความแตกต่างของ GDPR หลัง Brexit

ICO ปรับ LastPass £1.2 ล้านเหรียญฐานการเข้ารหัสข้อมูลที่ไม่เพียงพอในเดือนธันวาคม 2025 คำตัดสินนี้กำหนดให้การเข้ารหัสฝั่งไคลเอนต์เป็นข้อกำหนดทางกฎหมาย

June 5, 20267 อ่านประมาณ
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR หลัง Brexit: สิ่งที่เปลี่ยนแปลงไป

พระราชบัญญัติคุ้มครองข้อมูลสหราชอาณาจักร พ.ศ. 2561 ได้นำ UK GDPR มาบังคับใช้เป็นกฎหมาย กฎระเบียบนี้ใกล้เคียงกับ EU GDPR — แต่ไม่เหมือนกันทุกประการ หากคุณดำเนินงานทั้งในสหราชอาณาจักรและสหภาพยุโรป คุณจะต้องเผชิญกับการตรวจสอบการปฏิบัติตามข้อกำหนดสองชุดที่แยกจากกัน

สิ่งที่ยังคงเหมือนเดิม:

  • หกฐานทางกฎหมายสำหรับการประมวลผล
  • สิทธิ์ของเจ้าของข้อมูล: การเข้าถึง การลบ การแก้ไข การโอนย้าย
  • การแจ้งเตือนการละเมิดต่อหน่วยงานกำกับดูแลภายใน 72 ชั่วโมง
  • ความเป็นส่วนตัวโดยการออกแบบและโดยค่าเริ่มต้น

สิ่งที่เปลี่ยนแปลง:

  • สหราชอาณาจักรดำเนินการตัดสินใจความเพียงพอของตนเองสำหรับการโอนข้อมูลข้ามพรมแดน
  • แนวทาง AI ของสหราชอาณาจักรที่ออกในปี 2023–2024 เข้มงวดกว่า EDPB
  • ข้อยกเว้นการวิจัยของสหราชอาณาจักรกว้างกว่าของสหภาพยุโรปเล็กน้อย
  • หน่วยงานกำกับดูแลกำลังเปลี่ยนจากการให้คำแนะนำก่อนมาเป็นการปรับเงิน — เร็วกว่าเดิม

ช่องว่างระหว่างกฎของสหราชอาณาจักรและสหภาพยุโรปมีอยู่จริง จงปฏิบัติต่อทั้งสองอย่างเป็นรายการตรวจสอบที่แยกจากกัน

โทษปรับ LastPass: การเข้ารหัสคือการทดสอบทางกฎหมายแล้ว

ในเดือนธันวาคม 2025 ICO ปรับ LastPass UK £1.2 ล้านเหรียญ ฐานมีระบบการเข้ารหัสที่บกพร่อง นี่คือคำตัดสินที่สำคัญที่สุดของ UK GDPR เกี่ยวกับความปลอดภัยทางเทคนิคจนถึงปัจจุบัน

สิ่งที่หน่วยงานกำกับดูแลพบ: LastPass จัดเก็บบันทึก vault ด้วยกุญแจที่เซิร์ฟเวอร์เก็บไว้ ผู้ใดก็ตามที่เข้าถึงเซิร์ฟเวอร์ได้สามารถอ่าน vault ได้ คำตัดสินพบว่าสิ่งนี้ละเมิดการทดสอบ "มาตรการทางเทคนิคที่เหมาะสม" ใน UK GDPR มาตรา 32

วลีสำคัญจากคำสั่ง: "ผู้ควบคุมควรใช้การเข้ารหัสฝั่งไคลเอนต์ ซึ่งจะรักษาบันทึก vault ของผู้ใช้ให้ปลอดภัยแม้ว่าเซิร์ฟเวอร์จะถูกละเมิด"

สิ่งที่กำหนดขึ้น: หากมีการออกแบบที่ปลอดภัยกว่าและสามารถสร้างได้ การใช้การออกแบบที่อ่อนแอกว่าอาจละเมิดมาตรา 32 ในปัจจุบัน การจัดการกุญแจฝั่งเซิร์ฟเวอร์ไม่ใช่ค่าเริ่มต้นที่ปลอดภัยอีกต่อไปสำหรับบันทึกที่ละเอียดอ่อน

ผู้ที่ตกอยู่ในความเสี่ยง: บริการใดก็ตามที่จัดเก็บบันทึกที่ละเอียดอ่อนและเก็บกุญแจการเข้ารหัสไว้บนเซิร์ฟเวอร์ของตนเอง ซึ่งรวมถึงเครื่องมือที่บันทึกข้อความสำหรับการตรวจสอบ สถิติการใช้งาน หรือประวัติเอกสาร หากเซิร์ฟเวอร์สามารถอ่านข้อความได้ หน่วยงานกำกับดูแลอาจถามว่าทำไมคุณไม่ใช้การออกแบบฝั่งไคลเอนต์ ดูวิธีที่ anonym.legal จัดการกับสิ่งนี้ด้วยสถาปัตยกรรม zero-knowledge

แนวทาง UK AI: กฎทางเทคนิคแปดข้อ

หน่วยงานกำกับดูแลสหราชอาณาจักรเผยแพร่แนวทาง AI โดยละเอียดในปี 2023–2024 ครอบคลุมข้อกำหนดเฉพาะแปดข้อสำหรับระบบ AI เชิงสร้างสรรค์ แนวทางที่เทียบเคียงของสหภาพยุโรปมีรายละเอียดน้อยกว่า

1. แหล่งที่มาของข้อมูลฝึกอบรม — AI ที่ฝึกบนบันทึกส่วนบุคคลต้องบันทึกว่าข้อมูลมาจากไหนและขั้นตอนใดที่ใช้ทำความสะอาด

2. การตรวจสอบผลลัพธ์ — ระบบที่ผลิตผลลัพธ์ส่วนบุคคลต้องมีการควบคุมเพื่อตรวจจับและหยุดการเปิดเผยที่ไม่ดี

3. ข้อจำกัดวัตถุประสงค์ — บันทึกที่ใช้สำหรับการฝึก AI ต้องตรงกับวัตถุประสงค์ที่ระบุ การฝึกทั่วไปบนบันทึกลูกค้าต้องการฐานทางกฎหมายที่ชัดเจน

4. สิทธิ์การตัดสินใจอัตโนมัติ — หาก AI ของคุณตัดสินใจสำคัญเกี่ยวกับบุคคล จะต้องรองรับการเข้าถึง การอธิบาย และการอุทธรณ์

5. การตรวจสอบอคติ — ระบบที่ใช้ลักษณะที่ได้รับการคุ้มครอง — โดยตรงหรือโดยการอนุมาน — ต้องมีการตรวจสอบอคติ

6. การลดข้อมูลก่อนการปรับแต่ง — คุณต้องลดบันทึกส่วนบุคคลก่อนการปรับแต่ง นโยบายเพียงอย่างเดียวไม่เพียงพอ

7. การลบออกจากน้ำหนักโมเดล — หากบันทึกเข้าสู่น้ำหนักโมเดล คุณต้องมีแผนสำหรับการตอบสนองต่อคำขอการลบ ต้องการมาตรการทางเทคนิคหรือมาตรการที่เทียบเท่า

8. การตรวจสอบ AI บุคคลที่สาม — หากคุณใช้ AI ของบริษัทอื่น คุณต้องตรวจสอบและบันทึกการปฏิบัติตามข้อกำหนดทั้งแปดข้อ

กฎแปดข้อเหล่านี้เป็นรายการตรวจสอบจริงสำหรับการปรับใช้ AI ในสหราชอาณาจักร

การบังคับใช้ของสหราชอาณาจักร: การเปลี่ยนไปสู่การปรับเงิน

หน่วยงานกำกับดูแลเคยชอบจดหมายแนะนำมากกว่าบทลงโทษ สิ่งนั้นกำลังเปลี่ยนแปลง การดำเนินการล่าสุดแสดงรูปแบบที่ชัดเจน:

การดำเนินการจำนวนปีเหตุผล
British Airways£20M2020การละเมิด — ความปลอดภัยอ่อนแอ
Marriott International£18.4M2020การละเมิด — การตรวจสอบที่ไม่ดี
LastPass UK£1.2M2025ความล้มเหลวในการออกแบบการเข้ารหัส
Electoral Commission£4.4M คำตำหนิ2023เซิร์ฟเวอร์ที่ไม่ได้รับการอัพเดท

มีการออกหนังสือบังคับใช้ 67 ฉบับในปี 2024 — เป็นสถิติสูงสุด คดี LastPass น่าสังเกตเพราะการปรับเงินมาจากการตัดสินใจออกแบบ ไม่ใช่แค่ผลลัพธ์ของการละเมิด หน่วยงานกำกับดูแลตรวจสอบวิธีที่ LastPass สร้างระบบของตน นั่นเป็นเรื่องใหม่

การโอน UK–EU: ความเสี่ยงสองทาง

องค์กรในสหราชอาณาจักรที่จัดการบันทึกส่วนบุคคลของสหภาพยุโรปต้องเผชิญกับภาระผูกพันจากทั้งสองฝ่าย

จาก EU ไปยัง UK: สหภาพยุโรปมอบการตัดสินใจความเพียงพอให้สหราชอาณาจักรในปี 2021 ยังคงใช้ได้อยู่ แต่อยู่ระหว่างการท้าทายทางกฎหมาย อย่าพึ่งพาเพียงอย่างเดียว — ข้อกำหนดสัญญามาตรฐาน (SCCs) เป็นแผนสำรองที่สมเหตุสมผล

จาก UK ไปยัง EU: ไม่มีกฎปัจจุบันที่ขัดขวางการโอนบันทึกของสหราชอาณาจักรไปยังผู้ประมวลผลของสหภาพยุโรป แต่ผู้ประมวลผลของสหภาพยุโรปที่จัดการบันทึกของสหราชอาณาจักรอาจยังคงกระตุ้นกฎ EU GDPR ในส่วนของตน

ขั้นตอนที่ปฏิบัติได้จริง: เขียนตำแหน่ง UK GDPR และตำแหน่ง EU GDPR ของคุณเป็นเอกสารสองชุดแยกกัน สังเกตว่าตรงไหนที่ตรงกันและตรงไหนที่แตกต่างกัน นี่คือบันทึกที่คุณต้องการหากหน่วยงานกำกับดูแลถาม ภาพรวมการปฏิบัติตามข้อกำหนด ของเราแมปทั้งสองด้าน

สำหรับการดูเชิงลึกเพิ่มเติมเกี่ยวกับการออกแบบ zero-knowledge และวิธีที่มันจัดการความเสี่ยงการละเมิดเซิร์ฟเวอร์ที่ระบุใน LastPass โปรดอ่าน หน้าสถาปัตยกรรมความปลอดภัยและความเป็นส่วนตัว ของเรา

แหล่งที่มา

บทความที่เกี่ยวข้อง

GDPR & การปฏิบัติตาม

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & การปฏิบัติตาม

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & การปฏิบัติตาม

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

พร้อมที่จะปกป้องข้อมูลของคุณหรือยัง?

เริ่มทำให้ PII เป็นนิรนามด้วยประเภทเอนทิตีมากกว่า 285 ประเภทใน 48 ภาษา.

เริ่มทดลองใช้ฟรีดูฟีเจอร์

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.