Британський Закон про захист даних і цифрову інформацію (DPDI) 2025 року вносить 14 суттєвих відступів від EU GDPR — створюючи перший значний нормативний розрив між режимами захисту даних ЄС і Великобританії після Brexit. Рішення ЄС-Великобританія про адекватність, спочатку дійсне до червня 2025 року і продовжене на час перегляду, зазнає дедалі більшої критики з боку практиків GDPR та Єврокомісії.
Санкція проти LastPass: технічний орієнтир UK GDPR
Штраф ICO у розмірі £1,2 мільйона проти LastPass UK у грудні 2025 року є найважливішим прецедентом технічного виконання вимог безпеки у Великобританії. ICO встановив:
Недостатність шифрування: LastPass зберігав сховища паролів клієнтів із застарілим шифруванням, яке ICO визнав «неналежним» за статтею 32 UK GDPR. Зокрема, ICO виявив, що у деяких сховищах використовувався PBKDF2-SHA256 лише з 1 ітерацією — значно нижче мінімальної рекомендації NCSC Великобританії у 600 000 ітерацій для ключів, похідних від пароля.
Встановлений правовий стандарт: Стаття 32 UK GDPR вимагає «відповідних технічних заходів», що відображають «рівень розвитку технологій». ICO встановив, що «рівень розвитку технологій» для деривації ключів шифрування у 2022 році (коли відбувся витік) вимагав значно більшого, ніж надала LastPass. Це закріплює принцип: стандарти безпеки розвиваються — те, що було прийнятним у 2015 році, може бути неприйнятним у 2022 році.
Безпосереднє значення для інструментів шифрування: Організації, що використовують інструменти обробки даних, повинні перевіряти, чи відповідають реалізації шифрування в цих інструментах поточним стандартам «рівня розвитку технологій», а не лише мінімальним базовим стандартам. Санкція ICO проти LastPass перетворює якість шифрування постачальника на безпосередньо перевірювану вимогу відповідності.
Закон DPDI 2025: ключові відступи від EU GDPR
Закон DPDI вносить 14 виявлених відступів від EU GDPR. Найбільш операційно значущі:
1. Реформа законних інтересів: Закон DPDI створює перелік «визнаних законних інтересів», для яких не потрібен балансуючий тест EU GDPR щодо інтересів суб'єктів даних. Це робить законний інтерес більш доступною правовою підставою для британських організацій — скорочуючи вимоги щодо згоди для деяких видів комерційної обробки.
2. Дослідження, статистика та архівування: Закон DPDI суттєво розширює виняток для досліджень, дозволяючи ширше вторинне використання персональних даних без вимог явної згоди, що їх встановлює EU GDPR.
3. Автоматизоване прийняття рішень: Замінник статті 22 GDPR (права щодо автоматизованого прийняття рішень) у Законі DPDI є більш ліберальним щодо комерційних автоматизованих рішень. Вимога щодо змістовної перевірки людиною послаблена для деяких категорій автоматизованої обробки.
4. Ведення записів: Закон DPDI скасовує обов'язкові вимоги ROPA (реєстри діяльності з обробки) для малих організацій (до 250 співробітників) без «систематичної» обробки. EU GDPR вимагає ROPA від усіх організацій, обробка яких не є випадковою.
5. Згода на файли cookie: Закон DPDI містить положення про «альтернативи без файлів cookie» та знижує вимоги щодо згоди для аналітичних файлів cookie — спеціально розроблені для зменшення тягаря банерів згоди. Вимоги ePrivacy EU GDPR (що застосовуються паралельно) все ще вимагають згоди для відстежувальних файлів cookie.
6. Міжнародна передача: Закон DPDI надає Державному секретарю Великобританії ширші повноваження для прийняття рішень про адекватність — що потенційно дозволяє Великобританії надавати адекватність країнам, яким ЄС її не надав, створюючи розбіжні режими передачі.
Ризик адекватності: що може спричинити перегляд ЄС
Перегляд адекватності Великобританії Єврокомісією оцінюватиме, чи забезпечує UK GDPR (у редакції Закону DPDI) «по суті еквівалентний» захист EU GDPR:
Зони занепокоєння, виявлені моніторами ЄС:
- Розширення законних інтересів за Законом DPDI може створити прогалини, які ЄС вважає неналежними
- Британське законодавство про стеження (Закон про повноваження слідчих 2016 року) залишається несумісним зі стандартами GDPR відповідно до прецеденту CJEU у суміжних справах
- Угоди про обмін даними між Великобританією та США згідно з CLOUD Act створюють потенціал для доступу правоохоронних органів США до даних ЄС
Якщо адекватність буде призупинена або скасована: Понад 10 000 угод про стандартні договірні застереження між Великобританією та ЄС потрібно буде негайно активувати. Організації, що наразі покладаються виключно на адекватність для передачі між Великобританією та ЄС, зіткнуться з прогалинами у відповідності.
Підтримання подвійної відповідності EU + UK GDPR
Для організацій, що підпадають під дію як EU GDPR, так і UK GDPR, практичний підхід такий:
Використовуйте суворіший стандарт як базовий: Стаття 32 EU GDPR, балансуючий тест законних інтересів GDPR та вимоги GDPR щодо автоматизованого прийняття рішень є суворішими за їх еквіваленти за Законом DPDI. Організації, що відповідають EU GDPR, автоматично відповідають UK GDPR (із незначними британськими доповненнями).
Документуйте обидві правові підстави: Для обробки на підставі законних інтересів документуйте як балансуючий тест EU GDPR, так і те, що обробка підпадає під визнані законні інтереси Закону DPDI Великобританії. Подвійна документація захищає від розбіжностей.
Відстежуйте статус рішення про адекватність: Результат перегляду адекватності 2026 року визначить, чи потрібні окремі механізми передачі для обміну між Великобританією та ЄС. Організації повинні підтримувати SCC як резервний механізм, навіть якщо наразі покладаються на адекватність.
Шифрування на рівні сучасного стану технологій: Санкція ICO проти LastPass перетворює стандарти шифрування постачальників на активне міркування щодо відповідності. Перевіряйте, чи інструменти PII, сховища даних та реалізації управління ключами використовують поточні рекомендовані параметри (AES-256-GCM, argon2id для деривації ключів із поточними рекомендованими параметрами).
Післябрекситне відхилення Великобританії від GDPR являє собою перший значний розкол стандартів захисту даних ЄС. Для організацій, що працюють в обох юрисдикціях, найбезпечніша позиція — проектування під найсуворіші застосовні вимоги, якими залишаються основні технічні стандарти EU GDPR.
Джерела: