Brexit Sonrası UK GDPR: Ne Değişti
UK Veri Koruma Yasası 2018, UK GDPR'ı hukuka kazandırdı. AB GDPR'a büyük ölçüde benziyor — ama her alanda değil. Hem İngiltere'de hem AB'de faaliyet gösteriyorsanız iki ayrı uyum denetimini geçmeniz gerekiyor.
Aynı kalanlar:
- İşleme için altı yasal dayanak
- Veri sahibi hakları: erişim, silme, düzeltme, taşınabilirlik
- Denetim kurumuna 72 saat içinde ihlal bildirimi
- Tasarımla ve varsayılan olarak gizlilik
Değişenler:
- İngiltere, sınır ötesi aktarımlar için kendi yeterlilik kararlarını veriyor
- 2023–2024'te yayımlanan UK yapay zeka rehberi EDPB'nin ilerisine geçiyor
- İngiltere araştırma istisnaları AB'dekinden biraz daha geniş
- Düzenleyici kurum tavsiye önceliğinden para cezasına geçiyor — eskisinden daha hızlı
UK ile AB kuralları arasındaki fark gerçek. İkisine ayrı kontrol listeleri olarak bakın.
LastPass Cezası: Şifreleme Artık Bir Hukuki Test
Aralık 2025'te ICO, LastPass UK'e hatalı şifreleme kurulumu nedeniyle 1,2 milyon sterlin para cezası kesti. Bu, teknik güvenlik konusunda bugüne kadar verilmiş en önemli UK GDPR kararıdır.
Düzenleyicinin tespitleri: LastPass, kasa kayıtlarını sunucu tarafında tutulan anahtarlarla saklıyordu. Sunucuya erişen herkes kasayı okuyabiliyordu. Karar, bu durumun UK GDPR Madde 32'deki "uygun teknik tedbirler" testini ihlal ettiğini saptadı.
Bildirimden önemli ifade: "Veri sorumlusu istemci tarafı şifreleme kullanmalıydı. Bu sayede sunucu ihlal edilse bile kullanıcı kasa kayıtları güvende kalırdı."
Bu kararın önemi: Daha güvenli bir tasarım mevcut ve uygulanabilirse, daha zayıf olanı kullanmak artık Madde 32'yi ihlal edebilir. Sunucu tarafı anahtar yönetimi, hassas kayıtlar için artık güvenli bir varsayılan değildir.
Risk altındakiler: Hassas kayıtlar saklayan ve şifreleme anahtarlarını kendi sunucularında tutan her hizmet. Denetim izleri, kullanım istatistikleri veya belge geçmişi için metin kaydeden araçlar da dahildir. Sunucu metni okuyabiliyorsa, düzenleyiciler neden istemci tarafı tasarım kullanmadığınızı sormaya başlayabilir. anonym.legal'ın sıfır bilgi mimarisiyle bunu nasıl ele aldığına bakın.
UK Yapay Zeka Rehberi: Sekiz Teknik Kural
UK düzenleyicisi 2023–2024'te ayrıntılı yapay zeka rehberi yayımladı. Üretken yapay zeka sistemleri için sekiz özel gereksinimi kapsıyor. AB'nin karşılaştırılabilir rehberi bu kadar ayrıntılı değil.
1. Eğitim verisi kaynağı — Kişisel kayıtlar üzerinde eğitilen yapay zekaların, bu verinin nereden geldiğini ve temizleme adımlarını kayıt altına alması gerekiyor.
2. Çıktı izleme — Kişisel çıktı üreten sistemlerde, yanlış açıklamaları yakalayıp durduracak kontroller bulunmalıdır.
3. Amaç sınırlaması — Yapay zeka eğitimi için kullanılan kayıtlar belirtilen amaçla örtüşmelidir. Müşteri kayıtları üzerinde genel eğitim için açık bir yasal dayanak gereklidir.
4. Otomatik karar hakları — Yapay zekanız bir kişi hakkında önemli kararlar alıyorsa, erişim, açıklama ve itiraz mekanizmaları desteklenmelidir.
5. Önyargı izleme — Korunan özellikleri — doğrudan veya çıkarım yoluyla — kullanan sistemlerde önyargı denetimleri zorunludur.
6. İnce ayar öncesi minimizasyon — İnce ayar yapmadan önce kişisel kayıtları azaltmalısınız. Politika belgesi tek başına yeterli değildir.
7. Model ağırlıklarından silme — Kayıtlar model ağırlıklarına girerse, silme taleplerine yanıt verecek bir plan hazırlamanız ve teknik ya da eşdeğer güvenceler uygulamanız gerekir.
8. Üçüncü taraf yapay zeka incelemesi — Başka bir şirketin yapay zekasını kullanıyorsanız, sekiz maddenin tamamına uyumunu kontrol edip kayıt altına almanız gerekir.
Bu sekiz kural, herhangi bir UK yapay zeka dağıtımı için pratik bir kontrol listesi oluşturuyor.
UK Yaptırımı: Para Cezasına Geçiş
Düzenleyici kurum eskiden para cezaları yerine rehberlik mektuplarını tercih ediyordu. Bu değişiyor. Son işlemler net bir örüntü ortaya koyuyor:
| İşlem | Tutar | Yıl | Neden |
|---|---|---|---|
| British Airways | £20M | 2020 | İhlal — zayıf güvenlik |
| Marriott International | £18.4M | 2020 | İhlal — yetersiz durum tespiti |
| LastPass UK | £1.2M | 2025 | Şifreleme tasarımı başarısızlığı |
| Seçim Komisyonu | £4.4M kınama | 2023 | Yaması yapılmamış sunucu |
2024'te 67 yaptırım bildirimi yayımlandı — bir rekor. LastPass davası dikkat çekici, çünkü ceza bir tasarım tercihinden kaynaklandı, yalnızca bir ihlal sonucundan değil. Düzenleyiciler LastPass'in sistemini nasıl kurduğunu inceledi. Bu yeni bir şey.
UK–AB Aktarımları: İki Yönlü Risk
AB kişisel kayıtlarını işleyen UK kuruluşları her iki taraftan yükümlülüklerle karşılaşır.
AB'den UK'ye: AB, 2021'de İngiltere için yeterlilik kararı verdi. Hâlâ geçerli. Ama hukuki itirazla karşı karşıya. Yalnızca buna güvenmeyin — standart sözleşmesel maddeler (SCC'ler) makul bir yedektir.
UK'den AB'ye: UK kayıtlarını AB işleyicilerine taşımayı engelleyen mevcut bir kural yok. Ancak UK kayıtlarını işleyen bir AB işleyicisi, kendi tarafında AB GDPR kurallarını yine de tetikleyebilir.
Pratik adım: UK GDPR pozisyonunuzu ve AB GDPR pozisyonunuzu iki ayrı belge olarak yazın. Nerede örtüştüklerini, nerede ayrıştıklarını not edin. Bir düzenleyici sorduğunda ihtiyaç duyduğunuz kayıt budur. Uyum genel bakışımız her iki tarafı da haritalıyor.
Zero-knowledge tasarımı ve LastPass'te tespit edilen sunucu ihlali riskini nasıl ele aldığına daha ayrıntılı bakmak için güvenlik ve gizlilik mimarisi sayfamıza göz atın.
Kaynaklar
- ICO: UK GDPR Rehberi ve Kaynakları — DOĞRULANDI-HARİCİ
- ICO: LastPass Yaptırım Bildirimi, Aralık 2025 — DOĞRULANDI-HARİCİ
- ICO: Yapay Zeka ve Veri Koruma Rehberi — DOĞRULANDI-HARİCİ
- ICO: 2024 Yaptırım Yıllık Raporu — DOĞRULANDI-HARİCİ