Когда в январе 2021 года Великобритания официально отошла от законодательства ЕС о защите данных, многие организации предполагали, что переход будет административным. Ребрендинг GDPR, назначение местного представителя, обновление уведомления о конфиденциальности. За этим последовало нечто более требовательное. Управление комиссара по информации наложило штрафы на сумму около 65 миллионов фунтов стерлингов, связанные с GDPR, в годы после введения закона. Capita получила штраф в размере 14 миллионов фунтов стерлингов в октябре 2025 года. ICO опубликовало обновленное руководство по штрафам в марте 2024 года, которое сделало путь от нарушения до максимального штрафа более систематическим. А 19 июня 2025 года Закон о данных (использовании и доступе) получил королевское одобрение, внеся наиболее значительные поправки в британское законодательство о защите данных со времен Brexit: новые категории законных интересов, реформированные правила согласия на использование файлов cookie, обновленные положения об автоматизированном принятии решений и усиленные обязательства по обработке жалоб.
Хотя UK GDPR во многом повторяет своего европейского аналога, это отдельная нормативная база со своим надзорным органом, механизмами передачи и развивающейся повесткой реформ. Для любой организации, обрабатывающей персональные данные резидентов Великобритании, независимо от того, базируется ли она в Лондоне или Лос-Анджелесе, понимание того, что на самом деле требует UK GDPR, к кому он применяется и сколько стоит несоблюдение на практике, больше не является необязательным фоновым чтением. Это руководство предоставляет эту основу.
К кому применяется UK GDPR?
UK GDPR применяется к любой организации, которая обрабатывает персональные данные резидентов Великобритании, независимо от того, где эта организация базируется. Американская компания-разработчик программного обеспечения с клиентами из Великобритании должна соблюдать требования. Бизнес из ЕС, обрабатывающий данные лиц, проживающих в Великобритании, должен соблюдать требования. Регулирование применяется к контролерам данных, которые определяют цели и средства обработки, и к обработчикам данных, которые обрабатывают данные от имени контролеров. Оба несут различные обязательства, и на обоих могут быть наложены штрафы.
Территориальная сфера действия подтверждается двумя условиями: обработка осуществляется в контексте представительства в Великобритании, или обработка связана с предложением товаров или услуг субъектам данных в Великобритании, или мониторингом их поведения в Великобритании. Организации, базирующиеся за пределами Великобритании, которые соответствуют любому из этих условий, должны назначить представителя в Великобритании, если только они не соответствуют критериям освобождения. С 2021 года ICO преследовало принудительные меры против организаций за пределами Великобритании, включая штраф в размере 7,5 миллионов фунтов стерлингов против Clearview AI и регулирующие действия против нескольких американских брокеров данных, работающих на рынках Великобритании без инфраструктуры соответствия.
Семь основных принципов UK GDPR
Статья 5 UK GDPR устанавливает семь принципов, которые регулируют всю обработку персональных данных. Это не стремительные руководства. Нарушение основных принципов влечет за собой самый высокий уровень административного штрафа: до 17,5 миллионов фунтов стерлингов или 4 процента от глобального годового оборота, в зависимости от того, что выше. Каждая деятельность по обработке данных, осуществляемая организацией, должна быть защищена в соответствии со всеми семью следующими принципами.
| Принцип | Что требуется | Бизнес-риск |
|---|---|---|
| Законность, справедливость и прозрачность | Четкое правовое основание для обработки; отсутствие обманных практик с данными | 17,5 миллионов £ / 4% от глобального оборота |
| Ограничение цели | Данные используются только для определенных, явных, законных целей | Уведомление о принудительном исполнении ICO + штраф |
| Минимизация данных | Собирать только то, что адекватно, релевантно и необходимо | Выговор + предписание о соответствии |
| Точность | Поддерживать персональные данные актуальными; удалять или исправлять незамедлительно | Компенсационные иски + штрафы |
| Ограничение хранения | Хранить данные не дольше, чем необходимо | Аудит ICO + принудительное исполнение |
| Целостность и конфиденциальность | Требуются технические и организационные меры безопасности | До 17,5 миллионов £ (Capita: 14 миллионов £) |
| Подотчетность | Продемонстрировать соответствие; поддерживать ROPA | Провал аудита = немедленный штраф |
Принцип подотчетности заслуживает особого внимания, поскольку это механизм, через который обеспечиваются все остальные. Подотчетность в соответствии с UK GDPR не является пассивной: организации должны активно демонстрировать соответствие, вести Реестр действий по обработке (ROPA), проводить Оценки влияния на защиту данных (DPIA) для обработки с высоким риском и назначать Специалиста по защите данных (DPO) там, где это требуется. ICO может запросить доказательства этих действий в любое время, и неспособность их предоставить самостоятельно представляет собой нарушение.
Законные основания для обработки
Каждая деятельность по обработке требует законного основания. UK GDPR предоставляет шесть: согласие, контракт, юридическое обязательство, жизненно важные интересы, государственная задача и законные интересы. Выбор законного основания не является взаимозаменяемым и должен быть определен до начала обработки. Смена законных оснований постфактум не допускается.
Согласие в соответствии с UK GDPR должно быть свободно предоставлено, конкретным, информированным и недвусмысленным. Предварительно отмеченные флажки, объединенное согласие и согласие, полученное в качестве условия услуги, не соответствуют стандарту. Отзыв согласия должен быть таким же простым, как и его предоставление. Закон о данных (использовании и доступе) 2025 года обновил правила согласия на использование файлов cookie, введя пять исключений, когда согласие не требуется, включая файлы cookie, строго необходимые для услуги, которую запросил пользователь, статистические цели и экстренную помощь. Однако реклама, аналитика за пределами этих исключений и файлы cookie для персонализации по-прежнему требуют явного согласия на подключение.
Законные интересы часто применяются неправильно. Это требует трехчастной оценки: выявление законного интереса, демонстрация того, что обработка необходима для этого интереса, и уравновешивание его с правами субъекта данных. DUAA 2025 ввел список Признанных законных интересов, где балансирующий тест считается удовлетворенным, включая предотвращение мошенничества, сетевую безопасность и прямой маркетинг существующим клиентам. За пределами этих категорий обязателен документированный балансирующий тест.
Права личности в соответствии с UK GDPR
UK GDPR предоставляет восемь исполняемых прав субъектам данных. Организации должны ответить на запросы в течение одного месяца, с возможностью продления на два месяца для сложных запросов. Неспособность ответить сама по себе является нарушением, которое может привести к жалобам в ICO и принудительным действиям.
Право доступа (DSAR): Физические лица могут запросить все персональные данные, хранящиеся о них. Организации должны предоставить копию бесплатно в большинстве случаев. DUAA 2025 кодифицировал принцип «остановки часов»: сроки ответа приостанавливаются, когда запрашивается уточнение у субъекта данных.
Право на удаление: Также называемое «правом быть забытым», это позволяет физическим лицам запрашивать удаление персональных данных в определенных обстоятельствах, включая случаи, когда согласие отозвано или данные больше не нужны.
Право на портативность: Физические лица могут запросить персональные данные в машиночитаемом формате для передачи другому контролеру, где обработка основана на согласии или контракте.
Право на возражение: Физические лица могут возражать против обработки на основе законных интересов или для прямого маркетинга. Возражения против прямого маркетинга всегда должны быть выполнены немедленно.
Права, связанные с автоматизированным принятием решений: DUAA 2025 ввел новые правила, разрешающие автоматизированные решения на основе ИИ на основе законных интересов для неконфиденциальных данных, с гарантиями, включая права на вмешательство человека.
Требования к уведомлению об утечке данных
UK GDPR налагает строгие обязательства по сообщению об утечках. Когда утечка персональных данных представляет риск для прав и свобод физических лиц, ICO должен быть уведомлен в течение 72 часов с момента, когда организация узнала об утечке. Когда утечка, вероятно, приведет к высокому риску для физических лиц, затронутые субъекты данных также должны быть уведомлены без неоправданной задержки.
72-часовой отсчет начинается, когда организация узнает об этом, а не когда утечка полностью расследована. Поэтому организации должны иметь инфраструктуру обнаружения инцидентов, эскалации и отчетности, способную соответствовать этому графику. Утечка Capita, которая привела к штрафу в размере 14 миллионов фунтов стерлингов в октябре 2025 года, включала как неадекватные меры безопасности, так и задержку реагирования на инцидент: ICO явно назвал эту комбинацию отягчающими факторами при расчете штрафа.
Международная передача данных
Передача персональных данных за пределы Великобритании требует соответствующих гарантий. У Великобритании есть собственная система адекватности, и она выпустила решения об адекватности, охватывающие ЕЭЗ, государства-члены ЕС и ряд третьих стран. Для передачи в другие пункты назначения организации должны использовать Соглашения о международной передаче данных (IDTA), Дополнение Великобритании к Стандартным договорным оговоркам ЕС или Обязывающие корпоративные правила. Мост данных Великобритания-США, созданный в 2023 году, предоставляет механизм для передачи участвующим американским организациям. Организации не должны предполагать, что механизмы передачи EU GDPR автоматически удовлетворяют требованиям UK GDPR: структуры отдельные, и применяется руководство ICO.
Для практической реализации платформа управления согласием (CMP), которая обрабатывает международную синхронизацию согласия и документирует законные механизмы передачи, обеспечивает критический уровень соответствия, гарантируя, что согласие субъекта данных, зарегистрированное в Великобритании, должным образом отражается в последующей обработке обработчиками в странах без адекватности.
Реальная стоимость несоблюдения UK GDPR
ICO наложил 16 штрафов по UK GDPR на общую сумму около 65 миллионов фунтов стерлингов в период с 2019 года по сентябрь 2025 года. Следующая таблица обобщает наиболее значительные штрафы и нарушения, которые их вызвали.
| Организация | Штраф | Год | Нарушение |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | 14 миллионов £ | Октябрь 2025 | Утечка программы-вымогателя; 6,6 млн субъектов данных |
| Advanced Computer Software Group | 3,07 миллиона £ | 2025 | Уязвимости программы-вымогателя; данные NHS |
| British Airways | 20 миллионов £ | 2020 | Утечка данных; затронуты 400 000 клиентов |
| Clearview AI | 7,5 миллионов £ | 2022 | Незаконный биометрический сбор из интернета |
Финансовые штрафы представляют собой лишь часть истинной стоимости. Нефинансовые меры принудительного исполнения, включая запреты на обработку, предписания о соответствии и приостановку потоков данных, могут нарушить операции более серьезно, чем штрафы. Репутационный ущерб от публичных уведомлений о принудительном исполнении ICO приводит к оттоку клиентов, ухудшению партнерских отношений и потере корпоративных контрактов. Исследования Института Ponemon постоянно показывают, что общая стоимость утечки данных, включая обнаружение, уведомление, регулирующий ответ и нарушение бизнеса, превышает регулирующий штраф в три-пять раз.
Как выглядит инфраструктура соответствия UK GDPR в 2026 году
Эффективное соответствие UK GDPR в 2026 году требует больше, чем политика конфиденциальности и баннер cookie. Это требует документированных процессов, технических средств контроля и постоянной операционной способности. Стратегия онлайн-отслеживания ICO на 2025 год усилила контроль за реализацией согласия, с акцентом на то, могут ли записи о согласии фактически продемонстрировать действительное согласие на индивидуальном уровне.
Платформа управления согласием (CMP), которая блокирует несущественные файлы cookie до действительного согласия, поддерживает детализированные записи согласия с отметкой времени и синхронизирует предпочтения в веб-средах и средах приложений, теперь является базовой инфраструктурой для любой организации Великобритании, собирающей персональные данные онлайн. ICO взаимодействует с IAB Tech Lab с января 2025 года по Структуре запросов на удаление данных, подкрепляя, что отзыв согласия должен каскадироваться третьим сторонам в экосистеме рекламных технологий, а не только контролеру первой стороны.
Помимо согласия, организации должны поддерживать текущий ROPA, охватывающий все действия по обработке, назначать DPO там, где это требуется, проводить DPIA для проектов с высоким риском, обучать персонал обязательствам по защите данных и внедрять технические средства контроля, включая шифрование, контроль доступа и возможность обнаружения утечек. Опрос нарушений кибербезопасности 2025 года показал, что 43 процента британских предприятий столкнулись с утечками или атаками за предыдущие двенадцать месяцев, что эквивалентно приблизительно 612 000 организаций, требующих оценки уведомления об утечке.
Закон о данных (использовании и доступе) 2025 года, полностью вступивший в силу с 5 февраля 2026 года, представляет собой наиболее значительное обновление британского законодательства о защите данных со времен Brexit. Организации, которые не пересмотрели свои программы соответствия в соответствии с изменениями DUAA 2025, особенно в отношении законных интересов, исключений согласия на использование файлов cookie, автоматизированного принятия решений и обязательств по обработке жалоб, должны рассматривать это как срочный приоритет. Обновленное руководство по штрафам ICO, опубликованное в марте 2024 года, делает путь от нарушения до максимального штрафа более систематическим, а рекорд принудительного исполнения за 2025 год демонстрирует, что орган готов налагать существенные штрафы в разных секторах.
Организации, которые наиболее эффективно ориентируются в UK GDPR, - это те, которые рассматривают защиту данных как операционную инфраструктуру, а не как юридические накладные расходы. Для субъектов данных, проживающих в Великобритании, соблюдение UK GDPR не является необязательным; это цена ведения бизнеса на рынке с 67 миллионами человек, чьи права на данные активно защищены. Внедрение надежной инфраструктуры управления согласием, ведение всесторонней документации и создание возможности реагирования на утечки не являются затратами на соответствие; они являются основой устойчивых операций с данными.
Для дополнительного чтения о технологии согласия и структурах соответствия см. Технология соблюдения маркетинговых требований: Как бренды ориентируются в GDPR, правилах конфиденциальности и безопасности бренда в масштабе и Платформы управления согласием: соответствие GDPR, CCPA и технология выбора потребителя.
