İngiltere'nin Veri Koruma ve Dijital Bilgi (DPDI) Yasası 2025, AB GDPR'dan 14 önemli ayrışma yaparak Brexit'ten bu yana AB ve İngiltere veri koruma çerçeveleri arasında ilk maddi düzenleyici ayrışmayı oluşturuyor. AB-İngiltere uygunluk kararı, başlangıçta Haziran 2025'e kadar geçerliydi ve gözden geçirme sürecinde uzatıldı, GDPR uygulayıcıları ve Avrupa Komisyonu tarafından artan bir incelemeye tabi tutuluyor.
LastPass Uygulaması: İngiltere GDPR'nın Teknik Referansı
ICO'nun Aralık 2025'te LastPass UK'ye karşı verdiği £1.2 milyon ceza, İngiltere'nin en önemli teknik güvenlik uygulama davasıdır. ICO şunları buldu:
Şifreleme yetersizliği: LastPass, müşteri ana şifre kasalarını, ICO'nun İngiltere GDPR Madde 32'ye göre "yetersiz" bulduğu eski şifreleme ile sakladı. Özellikle, ICO bazı kasa iterasyonlarının yalnızca 1 iterasyon ile PBKDF2-SHA256 kullandığını buldu — bu, İngiltere NCSC'nin şifre türetilmiş anahtarlar için önerdiği minimum 600,000 iterasyonun çok altında.
Belirlenen yasal standart: İngiltere GDPR Madde 32, "en iyi uygulamaları" yansıtan "uygun teknik önlemler" gerektirir. ICO, 2022'de (ihlal gerçekleştiğinde) şifreleme anahtarı türetimi için "en iyi uygulama"nın LastPass'ın sağladığından çok daha fazlasını gerektirdiğini buldu. Bu, güvenlik standartlarının evrildiğini belirler — 2015'te kabul edilebilir olan, 2022'de kabul edilebilir olmayabilir.
Şifreleme araçları için doğrudan etki: Veri işleme araçlarını kullanan organizasyonlar, bu araçların şifreleme uygulamalarının mevcut "en iyi uygulama" standartlarını karşıladığını doğrulamalıdır, sadece minimum temel standartları değil. ICO'nun LastPass uygulaması, satıcı şifreleme kalitesini doğrudan denetlenebilir bir uyum gerekliliği haline getiriyor.
DPDI Yasası 2025: AB GDPR'dan Ana Ayrışmalar
DPDI Yasası, AB GDPR'dan 14 belirlenen ayrışma yapmaktadır. En operasyonel olarak önemli olanlar:
1. Meşru menfaatler reformu: DPDI Yasası, AB GDPR'nın veri sahibi menfaatlerine karşı dengeleme testine ihtiyaç duymayan "tanınmış meşru menfaatler" listesini oluşturur. Bu, meşru menfaatleri İngiltere organizasyonları için daha erişilebilir bir yasal temel haline getirir — bazı ticari işlemler için rıza gereksinimlerini azaltır.
2. Araştırma, istatistik ve arşivleme: DPDI Yasası, araştırma muafiyetini önemli ölçüde genişleterek, AB GDPR'nın dayattığı açık rıza gereksinimleri olmadan kişisel verilerin araştırma amaçları için daha geniş ikincil kullanımına izin verir.
3. Otomatik karar verme: DPDI Yasası'nın GDPR Madde 22 (otomatik karar verme hakları) için yerini alan düzenleme, ticari otomatik kararlar için daha izin vericidir. Anlamlı insan incelemesi gerekliliği, bazı otomatik işleme kategorileri için gevşetilmiştir.
4. Kayıt tutma: DPDI Yasası, "sistematik" işleme yapmayan küçük organizasyonlar (250'den az çalışan) için zorunlu ROPA (işleme faaliyetlerinin kayıtları) gereksinimlerini kaldırır. AB GDPR, işleme işlemleri nadir olmayan tüm organizasyonlar için ROPA gerektirir.
5. Çerez rızası: DPDI Yasası, "çerezsiz alternatifler" için hükümler içerir ve analiz çerezleri için rıza gereksinimlerini azaltır — özellikle çerez rıza banner yükünü azaltmak için tasarlanmıştır. AB GDPR'nın ePrivacy gereksinimleri (paralel olarak uygulanır) hala izleme çerezleri için rıza gerektirir.
6. Uluslararası transferler: DPDI Yasası, İngiltere Dışişleri Bakanı'na yeterlilik kararları verme konusunda daha geniş yetki verir — bu, İngiltere'nin AB'nin yeterlilik vermediği ülkelere yeterlilik vermesine olanak tanıyarak farklı transfer çerçeveleri oluşturabilir.
Yeterlilik Riski: AB Gözden Geçirmesini Tetikleyebilecek Nedir?
AB Komisyonu'nun İngiltere'nin yeterlilik gözden geçirmesi, İngiltere GDPR'nın (DPDI Yasası ile değiştirilen) AB GDPR'ya "esas itibarıyla eşdeğer" koruma sağlayıp sağlamadığını değerlendirecektir:
AB gözlemcileri tarafından belirlenen endişe alanları:
- DPDI Yasası'nın meşru menfaatler genişlemesi, AB'nin yetersiz bulabileceği boşluklar yaratabilir
- İngiltere gözetim yasası (Investigatory Powers Act 2016), ilgili davalarda CJEU içtihadına göre GDPR standartlarıyla uyumsuz kalmaya devam etmektedir
- CLOUD Act altındaki İngiltere-ABD veri paylaşım düzenlemeleri, AB verilerinin ABD yasalarına erişim için maruz kalma potansiyeli yaratır
Eğer yeterlilik askıya alınır veya iptal edilirse: 10,000'den fazla İngiltere-AB Standart Sözleşme Maddesi düzenlemesi derhal etkinleştirilmelidir. Şu anda yalnızca yeterliliğe güvenen organizasyonlar, uyum boşluklarıyla karşılaşacaktır.
Çift AB + İngiltere GDPR Uyumunu Sürdürme
Hem AB GDPR hem de İngiltere GDPR'ya tabi olan organizasyonlar için pratik yaklaşım:
Daha sıkı standardı temel olarak kullanın: AB GDPR Madde 32, GDPR'nın meşru menfaatler dengeleme testi ve GDPR'nın otomatik karar verme gereklilikleri, DPDI Yasası'nın eşdeğerlerinden daha sıkıdır. AB GDPR standartlarını karşılayan organizasyonlar, otomatik olarak İngiltere GDPR standartlarını da karşılar (küçük İngiltere'ye özgü eklemelerle birlikte).
Her iki yasal temeli belgeleyin: Meşru menfaatler altında işleme için, hem AB GDPR dengeleme testini hem de işlemenin İngiltere DPDI Yasası'nın tanınmış meşru menfaatleri kapsamına gireceğini belgeleyin. Çift belge, ayrışmaya karşı koruma sağlar.
Yeterlilik karar durumu izleyin: 2026 yeterlilik gözden geçirme sonucu, İngiltere-AB transferleri için ayrı transfer mekanizmalarının gerekip gerekmediğini belirleyecektir. Organizasyonlar, şu anda yeterliliğe güveniyor olsalar bile, yedek mekanizma olarak SCC'leri sürdürmelidir.
Şifrelemeyi güncel en iyi uygulamalara uyarlayın: ICO'nun LastPass uygulaması, satıcı şifreleme standartlarını aktif bir uyum dikkate alımı haline getirir. PII araçlarının, veri depolarının ve anahtar yönetim uygulamalarının mevcut önerilen parametreleri (AES-256-GCM, anahtar türetimi için argon2id ile mevcut parametre önerileri) kullandığını doğrulayın.
İngiltere'nin Brexit sonrası GDPR ayrışması, AB'nin veri koruma standartlarının ilk önemli parçalanmasını temsil ediyor. Her iki yargı alanında faaliyet gösteren organizasyonlar için en güvenli tutum, en katı uygulanabilir gerekliliklere göre tasarlamaktır — bu da AB GDPR'nın temel teknik standartlarıdır.
Kaynaklar: