Brexit Sonrası UK GDPR: Ayrışma ve Süreklilik
UK Veri Koruma Yasası 2018, UK GDPR'yi içeren, AB GDPR ile yakından örtüşmektedir — ancak Birleşik Krallık'ta faaliyet gösteren kuruluşlar için belirgin uyum gereksinimleri yaratan önemli ayrışmalarla.
Süreklilik:
- İşleme için aynı altı yasal temel
- Aynı veri sahibi hakları (erişim, silme, düzeltme, taşınabilirlik)
- Aynı hesap verebilirlik ilkesi ve belgelendirme gereklilikleri
- Aynı veri ihlali bildirim yükümlülüğü (ICO'ya 72 saat)
- Aynı tasarım ve varsayılan olarak veri koruma gereklilikleri
Ayrışmalar:
- Yeterlilik rejimi: UK, uluslararası veri transferleri için kendi yeterlilik kararlarına sahiptir; UK veri transferleri için AB yeterliliği sürdürülmekte ancak tartışmalıdır
- AI rehberliği: ICO, EDPB'nin karşılaştırılabilir rehberliğinden daha ayrıntılı bir AI rehberliği yayımladı (2023-2024)
- Biyometrik veriler: UK'nin biyometrik verileri ele alışı tanımsal olarak küçük farklılıklar göstermektedir
- Araştırma istisnaları: UK'nin araştırma ve istatistik istisnaları, AB eşdeğerlerinden biraz daha geniştir
- Uygulama kültürü: ICO tarihsel olarak eğitim ve rehberliğe odaklanmıştır; bu, son büyük uygulama eylemleriyle değişmektedir.
AB ve UK'de faaliyet gösteren kuruluşlar için, UK GDPR, hem AB GDPR hem de UK GDPR gereksinimlerinin değerlendirilmesini gerektiren paralel bir uyum yükümlülüğü yaratmaktadır — bunlar birbirinin aynısı değildir.
LastPass ICO Cezası: Şifrelemeyi Yasal Gereklilik Olarak Belirlemek
ICO'nun Aralık 2025'te LastPass UK'ye verdiği 1.2 milyon £ ceza, şifreleme standartları için önemli bir UK GDPR davasıdır. Uygulama bildirimi, geniş kapsamlı sonuçları olan birkaç ilke belirlemiştir:
Temel bulgu: LastPass'ın şifreleme mimarisi — kullanıcı kasası verilerini sunucu erişilebilir şifreleme anahtarları ile depolayan — UK GDPR Madde 32 uyarınca yetersiz bulunmuştur. ICO, "kontrolörün istemci tarafı şifrelemeyi uygulaması gerektiğini, bu sayede bir sunucu ihlali durumunda bile, kullanıcı kasası verilerinin yetkisiz taraflarca erişilemeyeceğini" belirlemiştir.
Bu ne anlama geliyor: ICO, daha gizlilik koruyucu bir mimarinin (istemci tarafı şifreleme) mevcut olduğu ve teknik olarak uygulanabilir olduğu durumlarda, daha az gizlilik koruyucu bir mimarinin (sunucu tarafı şifreleme) Madde 32'nin "uygun teknik önlemler" standardını karşılamayabileceğini belirlemiştir.
Daha geniş etkiler: Sunucu tarafı şifreleme kullanan ve şifreleme anahtarlarını sağlayıcının sunucularında tutan kuruluşlar, bir ihlal meydana gelirse ICO'nun incelemesiyle karşılaşabilir. Uygulama bildirimi, "teknik önlemler riskle orantılı olmalıdır ve hassas kişisel verilere yetkisiz erişim riski yüksek olduğunda, uygun önlem istemci tarafı anahtar yönetimini gerektirebilir" şeklinde açıkça belirtmektedir.
PII anonimleştirme araçları için: bir sağlayıcının anonimleştirme hizmeti, işlenmiş belgelerin düz metnini sunucu tarafında depoluyorsa (denetim kayıtları, kullanım analitiği veya belge geçmişi gibi özellikler için), bu, ICO'nun LastPass sonrası hassas veriler için belirlediği standartları karşılamayan bir sunucu erişilebilir veri deposu oluşturur.
ICO'nun AI Rehberliği: Üretken AI için Teknik Gereksinimler
ICO, 2023-2024 döneminde üretken AI sistemleri için sekiz özel teknik gereksinimi kapsayan kapsamlı bir AI rehberliği yayımladı — AB eşdeğer rehberliğinden daha ayrıntılı:
1. Eğitim verisi denetlenebilirliği: Kişisel verilerle eğitilen AI sistemlerinin, uygulanan anonimleştirme prosedürlerini içeren belgelenmiş eğitim verisi kökenine sahip olması gerekmektedir.
2. Çıktı izleme: Kişisel veri çıktıları üreten sistemlerin, uygunsuz veri ifşasını tespit etmek ve önlemek için izleme kontrollerine sahip olması gerekmektedir.
3. Eğitimde amaç sınırlaması: Eğitim için kullanılan kişisel veriler, belirli bir amaçla sınırlı olmalıdır — genel amaçlı AI eğitimi, müşteri verilerini kullanıyorsa açık bir yasal dayanak gerektirir.
4. Otomatik karar verme süreçlerinde bireysel haklar: Bireyler hakkında önemli kararlar veren AI sistemleri, bireysel hakları (erişim, açıklama, itiraz) kolaylaştırmak için teknik kontroller uygulamalıdır.
5. Önyargı denetimi: Korunan özellikleri (doğrudan veya dolaylı olarak) işleyen sistemlerin, teknik önyargı izleme sistemine sahip olması gerekmektedir.
6. İnce ayar sırasında veri minimizasyonu: Kişisel veriler üzerinde ince ayar yapılırken, eğitim öncesinde minimizasyon uygulanmalıdır — sadece anonimleştirme politikaları değil, teknik uygulama da gereklidir.
7. Eğitimde saklama: Model ağırlıklarına dahil edilen kişisel veriler, silme talepleri için adreslenebilir olmalıdır (teknik veya eşdeğer koruma gereklidir).
8. Üçüncü taraf model yeterlilik denetimi: Üçüncü taraf AI sistemlerini kullanan kuruluşlar, bu sistemlerin bu gereksinimlere teknik uyumunu değerlendirmeli ve belgelendirmelidir.
Bu sekiz gereksinim, UK AI dağıtımları için bir teknik uygulama kontrol listesi oluşturur.
ICO Uygulama Eğilimleri: Rehberlikten Cezalara
ICO tarihsel olarak büyük cezalardan ziyade eğitim ve uygulama bildirimlerini tercih etmiştir. Bu değişiyor:
- LastPass (Aralık 2025): 1.2 milyon £ — teknik güvenlik hatası (şifreleme mimarisi)
- Seçim Komisyonu (2023): 4.4 milyon £ ihtar (ceza yok) — güvenlik hatası (sunucu yamanmamış)
- British Airways (2019, 2020'de uzlaşıldı): 20 milyon £ — yetersiz güvenlik nedeniyle siber saldırıdan kaynaklanan veri ihlali
- Marriott International (2019, 2020'de uzlaşıldı): 18.4 milyon £ — yetersiz özen nedeniyle veri ihlali
ICO, 2024'te 67 uygulama bildirimi yayımladı — bu, rekor bir yüksekliğe ulaşarak resmi uygulama kullanma istekliliğinin arttığını göstermektedir.
LastPass cezası, yalnızca bir ihlal sonucunu değil, aynı zamanda bir şifreleme mimarisi kararını hedef aldığı için özellikle önemlidir. Bu, ICO'nun yalnızca ihlal yanıtlarını değil, aynı zamanda teknik tasarım seçimlerini de inceleyeceğini göstermektedir.
UK-AB Veri Akışı Etkileri
AB müşterilerine hizmet veren veya AB kişisel verilerini alan UK kuruluşları, çift uyum gereksinimi ile karşı karşıyadır:
- UK GDPR, UK işleme için geçerlidir
- AB GDPR, AB kişisel verileri için geçerlidir
AB'den UK'ye veri transferleri için: AB'nin UK için yeterlilik kararı (2021'de verilmiştir) geçerliliğini korumakta ancak gözden geçirme ve yasal itiraz konusuna tabidir. Kuruluşlar, tamamen UK yeterliliğine güvenmemelidir — standart sözleşme maddeleri önerilen ek bir koruma olarak kalmaktadır.
AB merkezli bulut hizmetleri kullanan UK kuruluşları için: UK'den AB'ye transfer şu anda kısıtlanmamıştır (UK veri akışları üzerinde AB kısıtlaması yoktur), ancak AB hizmet sağlayıcısının UK kişisel verilerini işlemesi, işleyici için AB GDPR gerekliliklerini tetikleyebilir.
Pratik rehberlik: AB-UK veri akışlarına sahip kuruluşlar, hem UK GDPR uyum durumlarını hem de AB GDPR uyum durumlarını ayrı ayrı belgelemelidir, eşdeğer oldukları yerleri ve UK'ye özgü gereksinimlerin uygulandığı yerleri not etmelidir.
Kaynaklar: