anonym.legal

By · Last updated 2026-06-05

Bumalik sa BlogGDPR & Pagsunod

UK GDPR Pagkatapos ng Brexit: Mga Teknikal na Pagkakaiba

Gumagawa ang DPDI Act 2025 ng 14 na paglayo mula sa EU GDPR. Nasa ilalim ng pagsusuri ang EU-UK adequacy para sa 2026. Ang multa na £1.2M sa LastPass ay nagtatag ng encryption bilang legal na kinakailangan.

June 5, 202610 min basahin
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

UK GDPR Pagkatapos ng Brexit: Ano ang Nagbago

Ang Data Protection and Digital Information (DPDI) Act 2025 ng UK ay gumagawa ng 14 na pagbabago sa mga panuntunan ng EU GDPR. Lumilikha ito ng unang tunay na pagbabagay sa pagitan ng EU at UK privacy law mula nang mag-Brexit. Nasa ilalim ng pagsusuri ang kasunduan ng EU-UK adequacy. Mahalaga ang resulta nito para sa bawat negosyo na naglilipat ng personal na data sa pagitan ng dalawang rehiyon.

Ang Multa sa LastPass: Isang Bagong Teknikal na Pamantayan

Pinagsipagan ng ICO ang LastPass UK ng £1.2 milyon noong Disyembre 2025. Ito ang pinakamalaking teknikal na kaso ng seguridad sa UK hanggang ngayon.

Natuklasan ng ICO ang dalawang pangunahing kabiguan.

Mahinang encryption: Nag-imbak ang LastPass ng mga customer password vault na may lumang encryption. Tinawag ito ng ICO na "hindi sapat" sa ilalim ng UK GDPR Article 32. Ang ilang vault ay gumamit ng PBKDF2-SHA256 na may isang iteration lang. Sinasabi ng UK NCSC na ang mga susi ng password ay nangangailangan ng hindi bababa sa 600,000 na iteration.

Ano na ang hinihingi ng batas: Hinihingi ng UK GDPR Article 32 ang "angkop na teknikal na mga hakbang" na naaayon sa "state of the art." Natuklasan ng ICO na ang key derivation noong 2022 ay nangangailangan ng higit pa sa ibinigay ng LastPass. Ang dating katanggap-tanggap noong 2015 ay hindi na katanggap-tanggap noong 2022.

Ang resulta: ang encryption ng vendor ay isang bagay na maaaring ma-audit. Kailangan mong suriin na gumagamit ang iyong mga tool ng kasalukuyang mga parameter — hindi lumang baseline. Tingnan ang aming pangkalahatang-ideya ng seguridad at pagsunod para sa paraan ng aming paghawak nito.

DPDI Act 2025: Anim na Pangunahing Pagbabago

Gumagawa ang Batas ng 14 na natuklasang pagbabago sa UK data law. Anim ang may direktang pang-araw-araw na epekto.

1. Mga lehitimong interes. Naglilista ang Batas ng "mga kinikilalang lehitimong interes." Nilalaktawan nito ang balancing test na kinakailangan pa rin ng batas ng EU. Nagpapahintulot ito ng mas madaling paggamit ng batayan para sa mga negosyong UK.

2. Pananaliksik at istatistika. Pinapalawig ng Batas ang exemption sa pananaliksik. Ang pangalawang paggamit ng personal na data para sa pananaliksik ay nangangailangan ng mas kaunting pahintulot kaysa sa hinihingi ng batas ng EU.

3. Mga automated na desisyon. Pinapalitan ng Batas ang EU Article 22. Mas maluwag ang bagong panuntunan. Ang ilang automated na desisyon ay hindi na nangangailangan ng makabuluhang pagsusuri ng tao.

4. Pagtatago ng rekord. Inaalis ng Batas ang mandatory na records of processing (ROPA) para sa mga kumpanyang may wala pang 250 kawani na walang "sistematikong" pagpoproseso. Hinihingi ng mga patakaran ng EU ang ROPA para sa lahat ng kumpanyang ang pagpoproseso ay hindi paminsan-minsan.

5. Pahintulot sa cookie. Binabawasan ng Batas ang mga panuntunan sa pahintulot para sa analytics cookies. Sinusuportahan nito ang mga opsyong "walang cookie." Kinakailangan pa rin ng mga patakaran ng EU ePrivacy ang pahintulot para sa mga tracking cookie.

6. Mga internasyonal na paglilipat. Binibigyan ng mas malawak na kapangyarihan ang UK Secretary of State na mag-grant ng mga desisyon sa adequacy. Maaaring aprubahan ng UK ang mga bansang hindi pa inaprubahan ng EU. Pino-split nito ang framework ng paglilipat sa magkabilang panig.

Ang Panganib sa Adequacy

Susuriin ng European Commission kung nagbibigay ang batas ng UK ng proteksyong "essentially equivalent" sa mga patakaran ng EU.

Tatlong lugar ang nag-aalala sa mga monitor ng EU.

Ang mas malawak na mga lehitimong interes ng DPDI Act ay maaaring mag-iwan ng mga puwang na tinatawag ng Komisyon na hindi sapat. Ang UK Investigatory Powers Act 2016 ay nagdudulot pa rin ng mga alalahanin na nakatali sa case law ng CJEU. Ang mga kasunduan ng UK-US sa ilalim ng CLOUD Act ay maaaring mag-expose ng EU data sa US law enforcement.

Kung nasuspinde ang adequacy, mahigit sa 10,000 UK-EU Standard Contractual Clause set ay kailangang mabilis na i-activate. Ang mga kumpanyang umaasa lamang sa adequacy para sa mga UK-EU transfer ay mahaharap sa mga puwang sa magdamag. Suriin ang aming gabay sa pagsunod para suriin ang iyong exposure.

Pagpapatakbo ng Parehong Rehimen nang Sabay-sabay

Para sa mga kumpanyang nasa ilalim ng parehong batas ng EU at UK, malinaw ang landas.

Gamitin ang mas mahigpit na baseline. Ang EU Article 32, ang EU legitimate interests test, at ang mga patakaran ng EU para sa automated na desisyon ay lahat ay mas mahigpit kaysa sa kanilang mga katumbas sa UK Act. Ang pagtugon sa mga patakaran ng EU ay nangangahulugang pagtugon sa mga patakaran ng UK, kasama ang ilang karagdagang UK.

I-document ang parehong legal na batayan. Para sa mga lehitimong interes, isulat ang resulta ng EU balancing test at patunay na ang pagpoproseso ay akma sa isang UK recognized na kategorya. Pinoprotektahan ka ng dual records kung higit pang magkakaiba ang mga patakaran.

Panatilihing handa ang mga SCC. Magpapasiya ang pagsusuri ng adequacy noong 2026 kung kailangan mo ng hiwalay na mga tool sa paglilipat. Panatilihing buhay ang mga Standard Contractual Clause bilang backup kahit gumagamit ng adequacy.

Suriin ang encryption ng vendor. Ginagawa ng kaso ng LastPass na isang buhay na item ng pagsunod ang encryption ng vendor. Kumpirmahin na ang mga tool na humahawak ng personal na data ay gumagamit ng kasalukuyang mga setting: AES-256-GCM sa rest, argon2id o PBKDF2 na may kasalukuyang bilang ng iteration para sa key derivation. I-browse ang aming FAQ para sa mga karaniwang tanong sa pag-audit.

Ang UK split ang unang tunay na pagbabagay sa EU privacy model. Para sa mga kumpanya sa parehong rehiyon, ang pinakaligtas na hakbang ay ang mag-disenyo para sa mas mahirap na pamantayan — na ang EU framework pa rin.

Nagpoproseso ang anonym.legal ng mga dokumento sa EU-based na Hetzner data center na may zero-knowledge na disenyo. Hindi nakikita ng server ang iyong plain-text. Ang isang buong server breach ay nagbubunga lamang ng AES-256-GCM ciphertext. Kailangan ng lokal na pagpoproseso? Ang Desktop App ay tumatakbo sa iyong device nang walang panlabas na koneksyon.

Mga Pinagkukunan

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.