anonym.legal

By · Last updated 2026-06-05

بلاگ پر واپس جائیںGDPR اور تعمیل

ICO برطانیہ: Brexit کے بعد GDPR میں فرق

ICO نے دسمبر 2025 میں LastPass پر ناکافی خفیہ کاری کی وجہ سے £1.2M جرمانہ عائد کیا۔ اس فیصلے نے واضح کیا کہ client-side encryption ایک قانونی ضرورت ہے۔

June 5, 20267 منٹ پڑھیں
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

Brexit کے بعد UK GDPR: کیا بدلا

UK Data Protection Act 2018 نے UK GDPR کو قانونی حیثیت دی۔ یہ EU GDPR کے قریب ہے — لیکن ہر معاملے میں نہیں۔ اگر آپ UK اور EU دونوں میں کام کرتے ہیں تو آپ کو دو الگ الگ تعمیل جانچ کرنی ہوں گی۔

جو کچھ وہی رہا:

  • ڈیٹا پروسیسنگ کی چھ قانونی بنیادیں
  • صارف کے حقوق: رسائی، حذف، درستگی، منتقلی
  • ریگولیٹر کو 72 گھنٹے میں خلاف ورزی کا نوٹس
  • ڈیزائن اور پہلے سے رازداری

جو بدلا:

  • UK اب سرحد پار منتقلی کے لیے اپنے خود کے adequacy فیصلے کرتا ہے
  • 2023–2024 میں جاری UK AI رہنمائی EDPB سے آگے جاتی ہے
  • UK تحقیقی استثناء EU سے قدرے وسیع ہیں
  • ریگولیٹر مشورہ دینے سے جرمانے لگانے کی طرف تیزی سے بڑھ رہا ہے

UK اور EU کے قوانین میں فرق حقیقی ہے۔ ان دونوں کو دو الگ checklist کے طور پر سمجھیں۔

LastPass جرمانہ: خفیہ کاری اب قانونی معیار ہے

دسمبر 2025 میں ICO نے LastPass UK پر £1.2 ملین جرمانہ عائد کیا کیونکہ اس کا خفیہ کاری کا نظام ناقص تھا۔ یہ UK GDPR کی تکنیکی سیکیورٹی پر اب تک کا سب سے اہم فیصلہ ہے۔

ریگولیٹر کو کیا ملا: LastPass نے vault ریکارڈز server-held keys کے ساتھ محفوظ کیے۔ جو کوئی سرور تک پہنچ سکتا تھا وہ vault پڑھ سکتا تھا۔ فیصلے میں یہ پایا گیا کہ اس سے UK GDPR آرٹیکل 32 کی "مناسب تکنیکی اقدامات" کی شرط ٹوٹتی ہے۔

نوٹس کا کلیدی جملہ: "کنٹرولر کو client-side encryption استعمال کرنی چاہیے تھی۔ اس سے سرور کی خلاف ورزی ہونے پر بھی صارف کے vault ریکارڈز محفوظ رہتے۔"

یہ کیا طے کرتا ہے: اگر کوئی محفوظ ڈیزائن موجود ہے اور قابل عمل ہے تو کمزور ڈیزائن استعمال کرنا آرٹیکل 32 کی خلاف ورزی ہو سکتی ہے۔ Server-side key management اب حساس ریکارڈز کے لیے محفوظ پہلے سے طے شدہ طریقہ نہیں رہا۔

خطرے میں کون ہے: کوئی بھی سروس جو حساس ریکارڈز محفوظ کرے اور اپنے سرورز پر encryption keys رکھے۔ اس میں وہ ٹولز شامل ہیں جو audit trails، usage stats یا document history کے لیے ٹیکسٹ لاگ کرتے ہیں۔ اگر سرور ٹیکسٹ پڑھ سکتا ہے تو ریگولیٹر پوچھ سکتے ہیں کہ آپ نے client-side ڈیزائن کیوں نہیں اپنایا۔ دیکھیں کہ anonym.legal اسے zero-knowledge architecture کے ساتھ کیسے سنبھالتا ہے۔

UK AI رہنمائی: آٹھ تکنیکی قوانین

UK ریگولیٹر نے 2023–2024 میں generative AI سسٹمز کے لیے تفصیلی AI رہنمائی شائع کی۔ اس میں آٹھ مخصوص ضروریات ہیں۔ EU کی اسی قسم کی رہنمائی اتنی تفصیلی نہیں۔

1. Training data کا ماخذ — ذاتی ریکارڈز پر تربیت یافتہ AI کو یہ لاگ کرنا ہوگا کہ ڈیٹا کہاں سے آیا اور اسے صاف کرنے کے لیے کیا اقدامات کیے گئے۔

2. Output کی نگرانی — ذاتی output تیار کرنے والے سسٹمز میں ناقص افشاء کو پکڑنے اور روکنے کے لیے کنٹرول ہونے چاہئیں۔

3. مقصد کی حد — AI تربیت کے لیے استعمال کیے گئے ریکارڈز کو بیان کردہ مقصد سے مطابقت رکھنی چاہیے۔

4. خودکار فیصلوں کے حقوق — اگر آپ کا AI کسی شخص کے بارے میں اہم فیصلے کرتا ہے تو اسے رسائی، وضاحت اور اپیل کی حمایت کرنی چاہیے۔

5. Bias کی نگرانی — جو سسٹم محفوظ خصوصیات استعمال کریں — براہ راست یا اندازے سے — انہیں bias جانچ ہونی چاہیے۔

6. Fine-tuning سے پہلے minimization — fine-tuning سے پہلے ذاتی ریکارڈز کم کرنے ہوں گے۔ صرف پالیسی کافی نہیں ہے۔

7. Model weights سے حذف — اگر ریکارڈز model weights میں داخل ہوں تو آپ کو حذف کی درخواستوں کے لیے ایک منصوبہ درکار ہے۔

8. تھرڈ پارٹی AI کا جائزہ — اگر آپ کسی اور کمپنی کی AI استعمال کرتے ہیں تو آپ کو تمام آٹھ نکات پر اس کی تعمیل کو جانچنا اور ریکارڈ کرنا ہوگا۔

یہ آٹھ قوانین کسی بھی UK AI deployment کے لیے عملی checklist بناتے ہیں۔

UK نفاذ: جرمانوں کی طرف تبدیلی

ریگولیٹر پہلے جرمانوں کے بجائے رہنمائی خطوط کو ترجیح دیتا تھا۔ یہ بدل رہا ہے۔ حالیہ اقدامات ایک واضح نمونہ دکھاتے ہیں:

اقدامرقمسالوجہ
British Airways£20M2020خلاف ورزی — کمزور سیکیورٹی
Marriott International£18.4M2020خلاف ورزی — کمزور due diligence
LastPass UK£1.2M2025خفیہ کاری کے ڈیزائن کی ناکامی
Electoral Commission£4.4M سرزنش2023بغیر patch کردہ سرور

2024 میں 67 enforcement notices جاری کیے گئے — ایک ریکارڈ۔ LastPass کیس قابل ذکر ہے کیونکہ جرمانہ صرف خلاف ورزی کے نتیجے کے لیے نہیں بلکہ ڈیزائن کے انتخاب کے لیے تھا۔

UK-EU منتقلی: دو طرفہ خطرہ

UK تنظیمیں جو EU کے ذاتی ریکارڈز سنبھالتی ہیں انہیں دونوں طرف سے ذمہ داریاں ہیں۔

EU سے UK تک: EU نے 2021 میں UK کو adequacy فیصلہ دیا۔ یہ ابھی بھی نافذ ہے۔ لیکن اسے قانونی چیلنج کا سامنا ہے۔ صرف اس پر انحصار نہ کریں — standard contractual clauses (SCCs) ایک معقول backup ہیں۔

UK سے EU تک: کوئی موجودہ قانون UK ریکارڈز کو EU processors تک منتقل کرنے سے نہیں روکتا۔

عملی قدم: اپنی UK GDPR پوزیشن اور EU GDPR پوزیشن کو دو الگ دستاویزات کے طور پر لکھیں۔ نوٹ کریں کہ وہ کہاں ملتی ہیں اور کہاں مختلف ہیں۔ ہماری تعمیل کا جائزہ دونوں اطراف کا نقشہ پیش کرتا ہے۔

LastPass میں نشاندہی کردہ سرور-خلاف ورزی کے خطرے پر zero-knowledge ڈیزائن کے بارے میں گہرائی سے جاننے کے لیے، ہمارا سیکیورٹی اور پرائیویسی architecture صفحہ دیکھیں۔

ذرائع

متعلقہ مضامین

GDPR اور تعمیل

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR اور تعمیل

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR اور تعمیل

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

کیا آپ اپنے ڈیٹا کی حفاظت کے لیے تیار ہیں؟

48 زبانوں میں 285+ ادارتی اقسام کے ساتھ PII کی گمنامی شروع کریں۔

مفت آزمائش شروع کریںخصوصیات دیکھیں

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.