UK GDPR Pagkatapos ng Brexit: Ano ang Nagbago
Ang UK Data Protection Act 2018 ay nagbigay-batas sa UK GDPR. Malapit ito sa EU GDPR — ngunit hindi sa bawat aspeto. Kung nagtatrabaho ka sa parehong UK at EU, kailangan mong sumailalim sa dalawang hiwalay na pagsusuri ng pagsunod.
Ano ang nanatili:
- Anim na legal na batayan para sa pagpoproseso
- Mga karapatan ng paksa: access, pagbubura, pagwawasto, portability
- Abiso sa regulator sa loob ng 72 oras para sa paglabag
- Privacy by design at by default
Ano ang nagbago:
- Ang UK ay nagpapatakbo ng sarili nitong mga desisyon sa sapat na proteksyon para sa cross-border na paglilipat
- Ang UK AI guidance na inilabas noong 2023-2024 ay higit pa sa EDPB
- Ang mga pagbubukod sa pananaliksik ng UK ay bahagyang mas malawak kaysa sa EU
- Ang regulator ay lumilipat mula sa payo-muna patungo sa mga parusa — mas mabilis kaysa dati
Ang agwat sa pagitan ng UK at EU na mga tuntunin ay totoo. Tratuhin silang dalawang hiwalay na checklist.
Ang Multa sa LastPass: Ang Encryption ay Isang Legal na Pagsubok Na
Noong Disyembre 2025, pinarusahan ng ICO ang LastPass UK ng £1.2 milyon dahil sa isang depektibong setup ng encryption. Ito ang pinaka-mahalagang desisyon ng UK GDPR sa teknikal na seguridad hanggang ngayon.
Ano ang natuklasan ng regulator: Nag-imbak ang LastPass ng mga rekord ng vault gamit ang mga susi na hawak ng server. Sinumang makarating sa server ay maaaring magbasa ng vault. Natuklasan ng desisyon na nilabag nito ang "naaangkop na teknikal na hakbain" na pagsubok sa UK GDPR Article 32.
Ang pangunahing parirala mula sa abiso: "Dapat gumamit ang controller ng client-side encryption. Mapananatili sana nito ang ligtas ang mga rekord ng vault ng gumagamit kahit na nalabag ang server."
Ano ang itinatag nito: Kung ang isang mas ligtas na disenyo ay umiiral at maaaring itayo, ang paggamit ng mas mahina ay maaaring lumabag na sa Article 32. Ang server-side na pamamahala ng key ay hindi na isang ligtas na default para sa mga sensitibong rekord.
Sino ang nasa panganib: Anumang serbisyo na nag-iimbak ng sensitibong rekord at nagpapanatili ng mga susi ng encryption sa sarili nitong mga server. Kasama dito ang mga tool na nag-log ng teksto para sa mga audit trail, mga istatistika ng paggamit, o kasaysayan ng dokumento. Kung mabasa ng server ang teksto, maaaring magtanong ang mga regulator kung bakit hindi ka gumamit ng client-side na disenyo. Tingnan kung paano pinangangasiwaan ito ng anonym.legal gamit ang zero-knowledge architecture.
UK AI Guidance: Walong Teknikal na Tuntunin
Nag-publish ang regulator ng UK ng detalyadong AI guidance noong 2023-2024. Sumasaklaw ito ng walong partikular na kinakailangan para sa mga generative AI system. Ang katumbas na guidance ng EU ay hindi gaanong detalyado.
1. Pinagmulan ng training data — Ang AI na sinanay sa mga personal na rekord ay dapat mag-log kung saan nanggaling ang data na iyon at kung anong mga hakbang ang ginamit upang linisin ito.
2. Pagmamasid sa output — Ang mga system na gumagawa ng personal na output ay dapat may mga kontrol upang mahuli at mapigilan ang masamang pagsisiwalat.
3. Limitasyon ng layunin — Ang mga rekord na ginamit para sa AI training ay dapat tumugma sa nakasaad na layunin. Ang pangkalahatang pagsasanay sa mga rekord ng customer ay nangangailangan ng malinaw na legal na batayan.
4. Mga karapatan sa automated na desisyon — Kung ang iyong AI ay gumagawa ng mahahalagang pagpipilian tungkol sa isang tao, dapat itong suportahan ang access, paliwanag, at apela.
5. Pagmamasid sa bias — Ang mga system na gumagamit ng mga protektadong katangian — nang direkta o sa pamamagitan ng pagpapalagay — ay dapat may mga pagsusuri ng bias.
6. Minimization bago ang fine-tuning — Kailangan mong bawasan ang mga personal na rekord bago ang fine-tuning. Ang isang patakaran lamang ay hindi sapat.
7. Pagbubura mula sa mga bigat ng modelo — Kung ang mga rekord ay pumapasok sa mga bigat ng modelo, kailangan mo ng plano upang tugunan ang mga kahilingan sa pagbubura. Kinakailangan ang mga teknikal o katumbas na mga pag-iingat.
8. Pagsusuri ng third-party AI — Kung gumagamit ka ng AI ng ibang kumpanya, kailangan mong suriin at i-record ang pagsunod nito sa lahat ng walong punto.
Ang walong tuntuning ito ay bumubuo ng isang praktikal na checklist para sa anumang deployment ng UK AI.
UK Enforcement: Ang Paglipat sa mga Multa
Dating mas gusto ng regulator ang mga liham ng gabay kaysa sa mga parusa. Iyon ay nagbabago. Ang mga kamakailang aksyon ay nagpapakita ng isang malinaw na pattern:
| Aksyon | Halaga | Taon | Dahilan |
|---|---|---|---|
| British Airways | £20M | 2020 | Paglabag — mahinang seguridad |
| Marriott International | £18.4M | 2020 | Paglabag — mahinang due diligence |
| LastPass UK | £1.2M | 2025 | Pagkabigo sa disenyo ng encryption |
| Electoral Commission | £4.4M reprimand | 2023 | Hindi na-patch na server |
67 enforcement notice ang inilabas noong 2024 — isang rekord. Ang kaso ng LastPass ay kapansin-pansin dahil ang multa ay para sa isang pagpipilian ng disenyo, hindi lamang sa resulta ng paglabag. Pinag-aralan ng mga regulator kung paano itinayo ng LastPass ang sistema nito. Bago ito.
UK-EU na mga Paglilipat: Panganib sa Dalawang Direksyon
Ang mga organisasyong UK na nangangasiwa ng mga personal na rekord ng EU ay may mga obligasyon mula sa magkabilang panig.
Mula EU patungong UK: Nagbigay ang EU ng desisyon sa sapat na proteksyon para sa UK noong 2021. Wasto pa rin ito. Ngunit ito ay nasa ilalim ng legal na hamon. Huwag umasa rito nang mag-isa — ang mga standard contractual clause (SCCs) ay isang makatwirang backup.
Mula UK patungong EU: Walang kasalukuyang tuntunin na pumipigil sa paglipat ng mga rekord ng UK sa mga processor ng EU. Ngunit ang isang processor ng EU na nangangasiwa ng mga rekord ng UK ay maaari pa ring mag-trigger ng mga tuntunin ng EU GDPR sa dulo nito.
Praktikal na hakbang: Isulat ang iyong posisyon sa UK GDPR at ang iyong posisyon sa EU GDPR bilang dalawang hiwalay na dokumento. Tandaan kung saan sila magkatugma at kung saan sila magkaiba. Ito ang rekord na kailangan mo kung tatanungin ng isang regulator. Ang aming pangkalahatang-ideya ng pagsunod ay nagmamapa ng magkabilang panig.
Para sa mas malalim na pagtingin sa zero-knowledge na disenyo at kung paano nito tinutugunan ang panganib ng paglabag ng server na natukoy sa LastPass, basahin ang aming pahina ng seguridad at privacy na arkitektura.
Mga Pinagkukunan
- ICO: UK GDPR Guidance and Resources — VERIFIED-EXTERNAL
- ICO: LastPass Enforcement Notice, December 2025 — VERIFIED-EXTERNAL
- ICO: AI and Data Protection Guidance — VERIFIED-EXTERNAL
- ICO: 2024 Enforcement Annual Report — VERIFIED-EXTERNAL