UK GDPR หลัง Brexit: ความต่อเนื่องและความแตกต่าง
พระราชบัญญัติคุ้มครองข้อมูล 2018 ของสหราชอาณาจักร ซึ่งรวม UK GDPR ไว้ สะท้อน EU GDPR อย่างใกล้ชิด แต่มีความแตกต่างที่สำคัญที่สร้างข้อกำหนดการปฏิบัติตามที่แตกต่างกันสำหรับองค์กรที่ดำเนินงานในสหราชอาณาจักร
ความต่อเนื่อง:
- ฐานกฎหมายเดียวกันหกชนิดสำหรับการประมวลผล
- สิทธิ์เจ้าของข้อมูลเหมือนกัน (การเข้าถึง การลบ การแก้ไข ความสามารถในการพกพา)
- หลักความรับผิดชอบและข้อกำหนดเอกสารเหมือนกัน
- ภาระหน้าที่การแจ้งเตือนการละเมิดข้อมูลเหมือนกัน (72 ชั่วโมงถึง ICO)
ความแตกต่างสำคัญหลัง Brexit:
- พระราชบัญญัติ DPDI 2025 ทำการแก้ไข 14 รายการจาก EU GDPR
- การยกเว้นองค์กรขนาดเล็กที่กว้างกว่า
- กรอบการทดสอบผลประโยชน์ที่ชัดเจนสำหรับการประมวลผลตามผลประโยชน์อันชอบธรรม
- ข้อกำหนด DPO ที่ผ่อนคลายลงสำหรับบางองค์กร
คำตัดสิน ICO ปี 2025: LastPass และการเข้ารหัส
ในเดือนธันวาคม 2025 ICO ปรับ LastPass £1.2 ล้านสำหรับการละเมิดข้อมูลปี 2022 คำตัดสินสถาปนามาตรฐานทางเทคนิคที่สำคัญ:
ข้อค้นพบ ICO:
- LastPass เก็บ key derivation parameters ที่เข้ารหัสไม่เพียงพอ
- บาง password vaults ถูกเข้ารหัสด้วยรูปแบบเก่ากว่าที่ไม่ตรงมาตรฐาน PBKDF2 ปัจจุบัน
- การแจ้งเตือนผู้ใช้ล่าช้า 69 วันหลังการยืนยันการละเมิด
มาตรฐานทางเทคนิคที่สถาปนา:
- การเข้ารหัสฝั่งไคลเอ็นต์เป็นข้อกำหนดทางกฎหมายสำหรับข้อมูลส่วนตัวที่ละเอียดอ่อน
- Key derivation ต้องปฏิบัติตามแนวทางปัจจุบันของ NIST SP 800-132
- Salting ต้องใช้ CSPRNG (Cryptographically Secure Pseudo-Random Number Generator)
ข้อกำหนดทางเทคนิค UK GDPR สำหรับทีมพัฒนา
มาตรา 32 UK GDPR — มาตรการรักษาความปลอดภัย: ต้องใช้ "มาตรการทางเทคนิคและองค์กรที่เหมาะสม" รวมถึง:
- การทำให้ข้อมูลส่วนตัวไม่ระบุตัวตนและการเข้ารหัส "ตามความเหมาะสม"
- การรับรองความลับ ความสมบูรณ์ และความพร้อมใช้งานอย่างต่อเนื่อง
- ความสามารถในการกู้คืนการเข้าถึงข้อมูลหลังเหตุการณ์ทางกายภาพหรือทางเทคนิค
ICO คาดหวัง:
- การเข้ารหัสข้อมูลส่วนตัวในระหว่างการส่งและการจัดเก็บ
- การทำให้ไม่ระบุตัวตนเป็นทางเลือกสำหรับการเข้ารหัสเมื่อข้อมูลสามารถทำงานได้ในรูปแบบที่ไม่ระบุตัวตน
- บันทึกการตัดสินใจ: เหตุใดจึงเลือกแนวทางนั้นๆ และมีการพิจารณาทางเลือกอื่นหรือไม่
แหล่งที่มา: