UK GDPR після Brexit: що змінилося
Закон Великобританії про захист даних 2018 року закріпив UK GDPR у законодавстві. Він залишається близьким до EU GDPR — але не у всіх аспектах. Якщо ви працюєте і у Великобританії, і в ЄС, вам доведеться пройти два окремі перевірки відповідності.
Що залишилося без змін:
- Шість законних підстав для обробки даних
- Права суб'єктів: доступ, видалення, виправлення, перенесення
- Сповіщення регулятора про виток протягом 72 годин
- Захист даних за задумом та за замовчуванням
Що змінилося:
- Великобританія самостійно приймає рішення про адекватність для транскордонних передач
- Керівництво ICO з ШІ 2023–2024 рр. йде далі, ніж рекомендації EDPB
- Винятки для досліджень у Великобританії дещо ширші, ніж в ЄС
- Регулятор переходить від підходу «спочатку консультація» до штрафів — швидше, ніж раніше
Розрив між правилами Великобританії та ЄС є реальним. Ставтеся до них як до двох окремих контрольних списків.
Штраф LastPass: шифрування тепер є юридичним критерієм
У грудні 2025 року ICO оштрафував LastPass UK на £1,2 мільйона за недоліки у схемі шифрування. Це найважливіше рішення UK GDPR щодо технічного захисту на сьогодні.
Що виявив регулятор: LastPass зберігав дані сховища з ключами на стороні сервера. Будь-хто, хто отримував доступ до сервера, міг читати сховище. Рішення встановило, що це порушує критерій «відповідних технічних заходів» у Статті 32 UK GDPR.
Ключова фраза з рішення: «Контролер повинен був використовувати шифрування на стороні клієнта. Це б захистило записи сховища користувачів навіть у разі злому сервера».
Що це встановлює: Якщо існує більш безпечний дизайн і його можна реалізувати, використання слабшого може тепер порушувати Статтю 32. Управління ключами на стороні сервера більше не є безпечним рішенням за замовчуванням для чутливих даних.
Хто під загрозою: Будь-який сервіс, що зберігає чутливі дані та тримає ключі шифрування на власних серверах. Це стосується інструментів, які ведуть журнали тексту для аудиту, статистики використання або історії документів. Якщо сервер може читати текст, регулятори можуть запитати, чому ви не використали дизайн на стороні клієнта. Дивіться, як anonym.legal вирішує це за допомогою архітектури нульових знань.
Керівництво ICO щодо ШІ: вісім технічних правил
Регулятор Великобританії опублікував детальні інструкції щодо ШІ у 2023–2024 роках. Вони охоплюють вісім конкретних вимог до генеративних систем ШІ. Порівнянні рекомендації ЄС є менш детальними.
1. Походження навчальних даних — ШІ, навчений на персональних даних, повинен фіксувати, звідки ці дані походять та які кроки використовувалися для їх очищення.
2. Моніторинг виводу — Системи, що генерують персональний вивід, повинні мати засоби контролю для виявлення та припинення небажаного розкриття.
3. Обмеження мети — Дані, що використовуються для навчання ШІ, повинні відповідати заявленій меті. Загальне навчання на даних клієнтів вимагає чіткої правової підстави.
4. Права на автоматизовані рішення — Якщо ваш ШІ приймає важливі рішення стосовно людини, він повинен підтримувати доступ, пояснення та оскарження.
5. Моніторинг упередженості — Системи, що використовують захищені ознаки — прямо або через висновки — повинні мати механізми перевірки на упередженість.
6. Мінімізація перед дообробкою — Ви повинні скоротити персональні дані перед дообробкою. Самої лише політики недостатньо.
7. Видалення з ваг моделі — Якщо дані потрапляють до ваг моделі, вам потрібен план для виконання запитів на видалення. Потрібні технічні або рівноцінні захисні заходи.
8. Перевірка стороннього ШІ — Якщо ви використовуєте ШІ іншої компанії, ви повинні перевірити та задокументувати його відповідність усім восьми пунктам.
Ці вісім правил формують практичний контрольний список для будь-якого розгортання ШІ у Великобританії.
Правозастосування у Великобританії: перехід до штрафів
Регулятор раніше надавав перевагу консультаційним листам над санкціями. Це змінюється. Нещодавні дії демонструють чітку тенденцію:
| Дія | Сума | Рік | Причина |
|---|---|---|---|
| British Airways | £20M | 2020 | Витік — слабкий захист |
| Marriott International | £18,4M | 2020 | Витік — неналежна перевірка |
| LastPass UK | £1,2M | 2025 | Недоліки дизайну шифрування |
| Виборча комісія | Догана £4,4M | 2023 | Незавантажений патч сервера |
67 приписів про виконання було видано у 2024 році — рекорд. Справа LastPass примітна тим, що штраф виданий за проектне рішення, а не лише за наслідки витоку. Регулятори перевіряли, як LastPass будував свою систему. Це є новим підходом.
Передачі UK–ЄС: двосторонній ризик
Організації Великобританії, що обробляють персональні дані резидентів ЄС, мають зобов'язання з обох боків.
З ЄС до Великобританії: ЄС надав Великобританії рішення про адекватність у 2021 році. Воно залишається чинним. Але воно оскаржується в суді. Не покладайтеся лише на нього — стандартні договірні положення (SCC) є розумним запасним варіантом.
З Великобританії до ЄС: Наразі жодне правило не перешкоджає передачі даних Великобританії до процесорів ЄС. Але процесор ЄС, що обробляє дані Великобританії, все одно може бути зобов'язаний дотримуватися EU GDPR.
Практичний крок: Зафіксуйте свою позицію щодо UK GDPR та EU GDPR як два окремі документи. Зазначте, де вони збігаються, а де різняться. Це запис, який вам знадобиться, якщо регулятор звернеться. Наш огляд відповідності охоплює обидві сторони.
Для більш детального ознайомлення з дизайном нульових знань та тим, як він вирішує ризик злому сервера, виявлений у справі LastPass, читайте нашу сторінку архітектури безпеки та конфіденційності.
Джерела
- ICO: Керівництво та ресурси з UK GDPR — VERIFIED-EXTERNAL
- ICO: Рішення про виконання щодо LastPass, грудень 2025 р. — VERIFIED-EXTERNAL
- ICO: Керівництво щодо ШІ та захисту даних — VERIFIED-EXTERNAL
- ICO: Річний звіт про правозастосування за 2024 р. — VERIFIED-EXTERNAL