Logo WCR Consulting
WCR Consulting
UK GDPR после Brexit: чем отличается от EU GDPR и что нужно бизнесу
Олег Просин
10 мая, 2026
5:50 пп
🇬🇧 UK GDPR · DUAA 2025 · ICO · DPA 2018 · PECR

UK GDPR после Brexit: чем отличается от EU GDPR и что нужно бизнесу

С 19 июня 2025 года — Royal Assent DUAA. С 5 февраля 2026 — крупнейшая реформа UK GDPR: новый lawful basis, cookies без opt-in для аналитики, PECR-штрафы £17.5M, смягчение ADM. Разбираем все изменения и dual compliance UK + EU для IT-компаний.
  • UK GDPR · DPA 2018 · ICO enforcement
  • DUAA 19.06.2025 · в силе 05.02.2026
  • PECR £17.5M · Cookies opt-out · RLI
  • Dual compliance UK + EU · IDTA vs SCCs
  1. 1UK GDPR: что осталось от EU GDPR после Brexit
  2. 2DUAA 2025: крупнейшая реформа post-Brexit
  3. 3Recognised Legitimate Interest: 7-й lawful basis
  4. 4Cookies после DUAA: аналитика без opt-in
  5. 5PECR штрафы £17.5M: что это значит для маркетинга
  6. 6ADM: Art.22A — смягчение relative to EU GDPR
  7. 7ICO enforcement: BA, Marriott, TikTok, Clearview
  8. 8ICO fee: £52/£78/£3 763 в год
  9. 9Dual compliance UK + EU: IDTA vs SCCs
  10. 10Чек-лист: 10 пунктов после DUAA
  11. ?FAQ

1UK GDPR: что осталось от EU GDPR после Brexit

С 1 января 2021 года Великобритания перестала применять EU GDPR. Вместо него вступил в силу UK GDPR — «retained» версия EU GDPR, встроенная в британское право через механизм Retained EU Law Act. Параллельно действует Data Protection Act 2018 (DPA 2018), который конкретизирует и дополняет UK GDPR применительно к национальным особенностям.

2018
EU GDPR принят
Распространяется на UK как государство-член ЕС + DPA 2018
2021
Brexit: UK GDPR
01.01.2021 · EU GDPR «заморожен» как UK GDPR · ЕС выдаёт adequacy
2025
DUAA принят
19.06.2025 Royal Assent · крупнейшая реформа UK data law
2026
DUAA в силе
05.02.2026 основные положения · UK GDPR значительно обновлён
🇬🇧
UK GDPR (после DUAA)
  • Регулятор — ICO (не входит в EDPB)
  • Прецедентное право UK, не CJEU
  • 7 lawful bases: добавлен RLI (с 2026)
  • Analytics cookies — opt-out (с 2026)
  • ADM: «meaningful human involvement»
  • Трансфер: UK IDTA вместо EU SCCs
  • PECR: £17.5M / 4% за нарушения (с 2026)
🇪🇺
EU GDPR (действующий)
  • Регуляторы — национальные DPA + EDPB
  • Толкование — CJEU + EDPB guidelines
  • 6 lawful bases, без pre-approved RLI
  • Все не-necessary cookies — opt-in consent
  • ADM: запрет sole automated decisions (ст.22)
  • Трансфер: EU SCCs / BCR / adequacy
  • Штрафы: €20M / 4% от оборота
Adequacy decision: В июне 2021 года ЕС выдал adequacy decision для Великобритании — данные из ЕС в UK передаются свободно. Решение выдано на 4 года; в 2025 году Еврокомиссия провела обзор. Пока действует — SCCs для трансфера ЕС → UK не нужны. Обратное направление (UK → ЕС) требует UK IDTA или признания EU SCCs Великобританией.

2DUAA 2025: крупнейшая реформа post-Brexit

Data Use and Access Act (DUAA) получил Royal Assent 19 июня 2025 года — это крупнейшее обновление британского законодательства о данных с момента Brexit. Закон не заменяет UK GDPR, но существенно его изменяет: вводит новые механизмы, упрощает ряд требований и выравнивает штрафы PECR с UK GDPR. Основные положения вступают в силу 5 февраля 2026 года.

⚖️
Recognised Legitimate Interest новое
7-й lawful basis с 5 pre-approved целями — без LIA. Упрощает обработку для ряда сценариев
🍪
Cookies: аналитика → opt-out новое
Analytics и preference cookies больше не требуют opt-in consent. Opt-out механизм + ICO guidance
💰
PECR штрафы выровнены новое
С £500K до £17.5M / 4% turnover. Убран порог «substantial damage» для Reg.6
🤖
ADM: Art.22A — смягчение новое
«Meaningful human involvement» вместо запрета sole automated decisions как в EU GDPR
🤝
Settlement mechanism новое
Скидка до 40% на штраф ICO при раннем урегулировании нарушения
🏛️
Smart data schemes
Расширенные полномочия по обязательному sharing данных в финансах, энергетике, телекоме
Digital verification services
Регулируемая экосистема цифровых удостоверений личности — trust framework для reusable ID
📋
Упрощение для малого бизнеса
Ряд требований к документированию облегчён для микро- и малых организаций
📅 Ключевые даты DUAA
19 июня 2025Royal Assent — DUAA официально принят
5 февраля 2026Большинство положений вступают в силу (включая RLI, cookies, ADM, PECR)
TBD (2026)ICO guidance по новым cookie-правилам и RLI — ожидается до даты вступления в силу

3Recognised Legitimate Interest: 7-й lawful basis

DUAA вводит Recognised Legitimate Interest (RLI) — принципиально новое правовое основание обработки, не имеющее аналога в EU GDPR. Это 7-й lawful basis (в дополнение к шести существующим). Ключевая особенность: для пяти pre-approved категорий целей не нужно проводить Legitimate Interest Assessment (LIA) — балансирующий тест интересов контроллера и субъекта пропускается.

🛡️
Safeguarding
Защита уязвимых лиц — дети, пожилые, жертвы насилия. Обработка для предотвращения вреда без необходимости согласия
🔐
National & Public Security
Национальная безопасность и безопасность общества — для организаций, законно вовлечённых в эти задачи
🚨
Emergencies
Чрезвычайные ситуации, угрозы жизни и здоровью — обработка без задержки для ликвидации последствий
🗳️
Democratic Engagement
Деятельность политических партий, кандидатов и организаций в рамках демократических процессов
🤝
Internal Networking
Внутренние коммуникации и networking внутри организации — обмен деловыми контактами между сотрудниками и партнёрами
⚠️
Ограничения RLI
Не применяется для маркетинга, профилирования, таргетинга. Обработка special category data всё равно требует отдельного основания по ст. 9
RLI (с 05.02.2026)
  • Цель входит в 5 pre-approved категорий
  • LIA не требуется — основание presumed
  • Документировать назначение RLI как основания
  • Субъект вправе возразить (право на objection)
Legitimate Interest (обычный)
  • Любая законная цель, кроме pre-approved
  • Обязателен трёхступенчатый LIA тест
  • Документировать весь балансирующий тест
  • Субъект вправе возразить + требовать LIA

Для большинства IT-компаний наиболее релевантны safeguarding (платформы с детской аудиторией) и internal networking (B2B SaaS с корпоративными пользователями). Маркетинг и таргетинг — вне RLI. Для них по-прежнему consent или LIA.

4Cookies после DUAA: аналитика без opt-in

До DUAA UK следовал PECR Regulation 6 — согласие требовалось для любых не-necessary cookies. С 5 февраля 2026 года DUAA меняет правила: analytics и preference cookies переходят в режим opt-out. Это крупнейшее практическое изменение для веб-бизнеса с UK-аудиторией.

Тип cookieДо DUAA (сейчас)После DUAA (с 05.02.2026)
Strictly necessaryБез согласияБез согласия (расширены)
Analytics / measurementOpt-in consentOpt-out — согласие не нужно
Preference / personalisationOpt-in consentOpt-out — согласие не нужно
Marketing / retargetingOpt-in consentOpt-in consent — без изменений
Third-party social pixelsOpt-in consentOpt-in consent — без изменений
🇬🇧 UK: banner после DUAA
Cookie banner упрощается: аналитика и персонализация включены по умолчанию с кнопкой «Opt out». Маркетинговые cookies по-прежнему требуют явного согласия. ICO обещает guidance о допустимом формате
🇪🇺 EU: banner остался сложным
EU GDPR + ePrivacy Directive требуют opt-in для всех не-necessary cookies. Для сайтов с EU-аудиторией баннер обязан сохранять полный consent flow — DUAA не меняет требования EU
⚠️ Dual audience сайт
Если сайт охватывает и UK и EU аудиторию — нужно реализовать гео-определение или единый banner по наиболее строгому стандарту (EU opt-in). Иначе риски с EU DPA
📋 Strictly necessary расширен
DUAA расширяет категорию strictly necessary — теперь включает ряд функциональных cookies, которые ранее требовали согласия. ICO уточнит перечень в guidance

5PECR штрафы £17.5M: что это значит для маркетинга

Privacy and Electronic Communications Regulations (PECR) регулирует email-маркетинг, cookies, телефонные продажи и SMS в Великобритании. До DUAA максимальный штраф по PECR составлял £500 000 — несравнимо ниже UK GDPR. DUAA устраняет этот дисбаланс: штрафы PECR выровнены с UK GDPR.

PECR до DUAA
£500K
максимум
Требовался порог «substantial damage or distress» для части нарушений. Низкий deterrent для крупных нарушителей
PECR после DUAA (с 05.02.2026)
£17.5M
или 4% глобального оборота
Убран порог «substantial damage». ICO вправе штрафовать за любое нарушение Reg.6 без дополнительных условий
📧Email без consent: рассылка коммерческих email без предварительного согласия физического лица — прямое нарушение PECR Reg.22. После DUAA — до £17.5M
📱SMS-маркетинг без opt-in: те же правила, что для email. «Купленные» базы номеров без documented consent — высокий риск
🍪Нарушение cookie-правил: установка non-necessary cookies без согласия (или после DUAA — без opt-out механизма) — нарушение Reg.6 с новыми штрафами
📞Cold calling зарегистрированных в TPS: звонки на номера в Telephone Preference Service без исключений — также PECR
B2B vs B2C: PECR для email различает физических лиц (B2C) и корпоративных подписчиков (B2B). B2B-рассылки по корпоративным email подпадают под мягкий режим — «soft opt-in» и legitimate interest. Но: соло-трейдеры и партнёрства в UK приравниваются к физлицам — для них нужен полноценный opt-in.

6ADM: Art.22A — смягчение relative to EU GDPR

Автоматизированное принятие решений (ADM) — одно из ключевых полей расхождения UK и EU после DUAA. EU GDPR Art.22 устанавливает жёсткий запрет на solely automated decisions со значимыми последствиями. UK GDPR через DUAA вводит новую статью 22A с более мягким стандартом.

🇪🇺
EU GDPR Art.22 — запрет
  • Solely automated decisions запрещены по умолчанию
  • Разрешены только в трёх исключениях: договор, закон, explicit consent
  • Special category data — только explicit consent или substantial public interest
  • Субъект вправе требовать human review + оспорить решение
  • EDPB Guidelines 1/2022 — строгая интерпретация
🇬🇧
UK GDPR Art.22A — «meaningful human involvement»
  • Запрет на решения без meaningful human involvement
  • Система с человеческим надзором — допустима шире
  • Не требует full human review при каждом решении
  • AI/ML с oversight механизмом — как правило, compliant
  • Субъект по-прежнему вправе оспорить + объяснение обязательно
✅ Credit scoring с human review
Алгоритм выдаёт рекомендацию, кредитный офицер финально одобряет — meaningful involvement
✅ HR-скрининг с HR review
ATS отсеивает кандидатов, рекрутер просматривает и принимает решение — допустимо по UK GDPR
⚠️ Full auto без override
Система автоматически отказывает и у субъекта нет пути к пересмотру — нарушение Art.22A
Практически: UK подход открывает путь для AI-decision систем при условии наличия механизма оспаривания и возможности human override. Privacy Notice должен объяснять логику ADM и права субъекта. EU-сайт с тем же продуктом нужно анализировать отдельно по EU GDPR Art.22.

7ICO enforcement: BA, Marriott, TikTok, Clearview

ICO — один из наиболее активных регуляторов в мире по данным. Крупнейшие кейсы последних лет показывают: ICO штрафует реально, даже крупные корпорации. При этом регулятор позиционирует себя как compliance-first: предпочитает помогать исправить нарушение, а не сразу наказывать.

✈️
British Airways (2021)
£20 000 000
Утечка данных ~500K клиентов через скимминг на сайте. Недостаточные технические меры безопасности. Изначально £183M, снижен с учётом COVID и кооперации
🏨
Marriott International (2020)
£18 400 000
Утечка ~339M записей гостей через унаследованную систему Starwood. Нарушения при due diligence в ходе M&A сделки
📱
TikTok (2023)
£12 700 000
Незаконная обработка данных детей до 13 лет без согласия родителей. ~1.4M UK детей затронуто
📸
Clearview AI (2022)
£7 500 000
Сбор биометрических данных (facial recognition) из открытых источников без правового основания. Clearview оспорил — ICO подтвердил
🤝 Settlement mechanism (DUAA, с 05.02.2026)
DUAA вводит формальный механизм урегулирования: контроллер признаёт нарушение и принимает корректирующие меры — ICO снижает штраф до 40%. Это значительный стимул к сотрудничеству. На практике ICO и до DUAA снижал штрафы при кооперации (BA: с £183M до £20M), но теперь механизм формализован.
ICO compliance-first подход: При первичном обращении или жалобе ICO в большинстве случаев начинает с reprimand и требования устранить нарушение. Крупные штрафы — для повторных нарушений, демонстративного игнорирования или массовых утечек. Это не повод расслабляться: reprimand публикуется на сайте ICO и наносит репутационный ущерб.

8ICO fee: £52/£78/£3 763 в год

Помимо compliance с UK GDPR, каждый контроллер данных в UK обязан ежегодно уплачивать сбор ICO (data protection fee). Это отдельное требование DPA 2018, не связанное с нарушениями. Размер зависит от tier организации.

Tier 1 · Микробизнес
£52
в год
Организации с оборотом ≤£632K или ≤10 сотрудников. Самозанятые, малые НКО
Tier 2 · Малый/средний
£78
в год
Организации с оборотом ≤£36M или ≤250 сотрудников. Большинство IT-стартапов
Tier 3 · Крупный
£3 763
в год
Оборот >£36M или >250 сотрудников. Enterprise SaaS, корпоративные контроллеры
Кто освобождён от ICO fee:
Волонтёрские организации (qualifying charities)
Обработка только для личных/домашних целей
Некоторые категории малых НКО
Обработка только для ведения реестра участников
Отдельные публичные органы с иным финансированием
Обработка только для журналистских/исследовательских целей (в ряде случаев)
Штраф за неуплату: до £4 350. ICO активно преследует неплательщиков — в год выносятся сотни Monetary Penalty Notices за просрочку. Иностранная компания, обрабатывающая данные UK-резидентов и имеющая UK establishment, обязана платить. Проверить обязанность регистрации →

9Dual compliance UK + EU: IDTA vs SCCs

Большинство международных IT-компаний обслуживают одновременно UK и EU аудитории — и обязаны соответствовать обоим режимам. Хорошая новость: законы исторически близки. Плохая: после DUAA расхождений стало больше — cookies, ADM, RLI, трансферный механизм.

Направление трансфераМеханизмЧто нужно
ЕС → UKСвободно (adequacy)Adequacy decision ЕС 2021 г. действует. Следить за продлением (обзор 2025)
UK → ЕС/ЕЭАСвободно (whitelist)UK признаёт ЕС/ЕЭА «adequate» — свободная передача без дополнительных механизмов
UK → СШАUK IDTAUK International Data Transfer Agreement — британский аналог EU SCCs. Подписывается с каждым получателем
UK → РоссияUK IDTAРоссия не в UK whitelist. IDTA обязателен. Отдельно: 152-ФЗ для RU-субъектов →
ЕС → США (через UK-компанию)EU SCCsЕсли данные пришли из ЕС и передаются дальше — нужны EU SCCs для этого leg трансфера
UK → прочие страныПроверить whitelistICO публикует список «adequate» стран. Если не в списке — UK IDTA или другой подходящий механизм
📋 Ключевые расхождения для dual-compliance документации
Privacy Policy: нужны два блока или два документа — UK и EU. Разные основания обработки (RLI отсутствует в EU), разные cookie-правила, разные ADM-права субъекта.

Cookie Banner: для EU всегда opt-in; для UK после 05.02.2026 — opt-out для аналитики. Гео-определение или единый banner по строгому EU стандарту.

DPA / процессорный договор: с UK-процессором — UK GDPR terms; с EU-процессором — EU GDPR terms + EU SCCs при трансфере из ЕС.

Представитель: EU GDPR Art. 27 — представитель в ЕС, если нет EU establishment. UK GDPR — аналогичное требование UK representative, если нет UK establishment.

Полный мультиюрисдикционный пакет для юридической упаковки продукта с UK+EU аудиторией включает: Privacy Policy (UK + EU блоки), Cookie Policy с двумя режимами, DPA-шаблоны под оба закона, UK IDTA + EU SCCs для трансферов, ICO fee регистрацию.

10Чек-лист: 10 пунктов после DUAA

  • 1
    Privacy Notice под UK GDPRсейчас
    Охватывает все lawful bases (включая RLI с 05.02.2026), права субъектов, ADM disclosure, сроки хранения, реквизиты ICO. Отдельный блок для UK если есть dual UK+EU документация
  • 2
    Регистрация в ICO + уплата feeсейчас
    Проверить: есть ли UK establishment? Если да — зарегистрироваться на ico.org.uk и платить £52/£78/£3 763 в год. Нарушение: до £4 350
  • 3
    Cookie Banner — обновить под DUAAс 05.02.2026
    Analytics и preference cookies → opt-out. Marketing/tracking → opt-in. Если EU+UK аудитория — единый banner по EU стандарту или гео-определение
  • 4
    PECR compliance: email и SMS маркетингсейчас
    Проверить наличие documented consent для каждого списка рассылки. «Купленные» базы = риск £17.5M с 05.02.2026. Soft opt-in документировать отдельно для B2B
  • 5
    DPA с каждым UK/EU процессоромсейчас
    AWS, Google, Stripe, HubSpot — каждый обрабатывающий UK данные требует UK GDPR-compliant DPA. Для EU-процессоров с EU-данными — EU GDPR DPA + SCCs
  • 6
    UK IDTA для трансферов за пределы whitelistсейчас
    Передача UK-данных в США, Россию, Индию, Китай и другие non-adequate страны — обязателен UK IDTA. Отличается от EU SCCs — отдельный документ
  • 7
    ADM disclosure в Privacy Noticeс 05.02.2026
    Если используется automated decision-making — раскрыть логику, значимость, последствия. Обеспечить механизм meaningful human involvement и права субъекта на оспаривание
  • 8
    DSR процесс: ответ в сроксейчас
    Ответ на Subject Access Request — 1 месяц (как EU GDPR). Нужны: ответственное лицо, шаблоны, лог запросов. SAR — главный источник жалоб в ICO от физлиц
  • 9
    Breach notification процедурасейчас
    72 часа в ICO при высоком риске, без задержки субъектам. Нужен Incident Response Plan. Журнал всех инцидентов (даже без уведомления ICO)
  • 10
    UK Representative (если нет UK establishment)best practice
    Иностранная компания без UK office, обрабатывающая UK данные, должна назначить UK-представителя. Контакт публикуется в Privacy Notice, указывается в переписке с ICO

?FAQ: UK GDPR и DUAA

Нужно ли соблюдать UK GDPR, если компания не зарегистрирована в Великобритании?
Да, если компания обрабатывает данные физических лиц, находящихся в UK, в связи с предложением товаров/услуг UK-резидентам или мониторингом их поведения. Экстерриториальный принцип идентичен EU GDPR. SaaS с UK-пользователями, e-commerce с доставкой в UK — подпадают. Нет UK establishment — нужен UK Representative.
Чем UK IDTA отличается от EU SCCs?
UK IDTA (International Data Transfer Agreement) — британский механизм для трансфера данных из UK в third countries. Принят ICO в 2022 году. Структурно похож на EU SCCs 2021, но основан на UK GDPR, а не EU GDPR. При трансфере EU-данных через UK-компанию в третьи страны нужны оба: UK IDTA для UK leg и EU SCCs для EU leg. Нельзя использовать EU SCCs для UK-трансферов — ICO их не признаёт без дополнения UK Addendum.
Когда вступают в силу изменения DUAA по cookies?
Основные положения DUAA, включая cookie-реформу, вступают в силу 5 февраля 2026 года. До этой даты действуют текущие правила PECR — opt-in для всех non-necessary cookies. ICO обещает опубликовать guidance по новым cookie-правилам до даты вступления в силу. Компаниям рекомендуется обновить Cookie Banner и Cookie Policy до 05.02.2026.
Что такое Recognised Legitimate Interest и как он работает на практике?
RLI — новый 7-й lawful basis UK GDPR (с 05.02.2026). Для пяти pre-approved категорий целей (safeguarding, national/public security, emergencies, democratic engagement, internal networking) не требуется проводить Legitimate Interest Assessment. Контроллер просто фиксирует в RoPA, что основание обработки — RLI, и указывает категорию. Субъект по-прежнему вправе возразить. Для маркетинга, профилирования, таргетинга RLI не применяется.
Как работает settlement mechanism ICO?
DUAA формализует механизм: если контроллер признаёт нарушение, берёт на себя обязательства по устранению и активно сотрудничает с ICO — штраф может быть снижен до 40%. На практике ICO уже и до DUAA применял подобный подход (BA: с £183M до £20M). После DUAA процедура стандартизирована, сроки и условия чётко определены.
Нужно ли платить ICO fee иностранной компании?
Обязанность платить ICO fee возникает при наличии UK establishment (офис, сотрудники, постоянное оборудование в UK). Иностранная компания без UK establishment, работающая с UK-данными экстерриториально, формально не обязана платить ICO fee, но обязана соблюдать UK GDPR и назначить UK Representative. Если есть сомнения в наличии establishment — лучше проконсультироваться: fee небольшой, а риск штрафа за неуплату существует.
🇬🇧
DUAA 19.06.2025
В силе с 05.02.2026 · RLI · cookies opt-out · PECR £17.5M · ADM Art.22A
⚖️
ICO enforcement
BA £20M · Marriott £18.4M · TikTok £12.7M · Settlement -40% (DUAA)
🔄
Dual UK + EU
UK IDTA + EU SCCs · два Privacy Notice · cookies по строгому стандарту EU
🇬🇧 Нужен UK GDPR compliance после DUAA?
Privacy Notice под UK GDPR + DUAA, Cookie Policy с opt-out для аналитики, UK IDTA для трансферов, ICO fee регистрация, UK Representative — полный пакет за 5–7 рабочих дней.
Работаем с SaaS, e-commerce и IT-компаниями с UK-аудиторией.
Заказать UK GDPR compliance →
Бесплатная консультация · Фиксированная цена · Срок от 5 дней
Category : Персональные данные
Tags : Brexit DPA 2018 DUAA ico PECR UK GDPR