Euroopa Andmekaitsenõukogu heidab valgust generatiivse tehisintellekti anonüümimisele ja veebi kraapimisele ning võtab vastu plokiahela suuniste lõpliku versiooni
Brüssel, 8. juuli – Euroopa Andmekaitsenõukogu võttis oma viimasel täiskogu istungil vastu suunised anonüümimise kohta ja suunised veebi kraapimise kohta generatiivse tehisintellekti kontekstis. Lisaks on andmekaitsenõukogu võtnud vastu oma suuniste lõpliku versiooni isikuandmete töötlemise kohta plokiahela tehnoloogiate kaudu.
Anonüümsete andmete mõistmine
Uutes Euroopa Andmekaitsenõukogu suunistes selgitatakse anonüümsete andmete mõistet, võttes arvesse ka Euroopa Liidu Kohtu 4. septembri 2025. aasta otsust kohtuasjas C-413/23 P: Euroopa Andmekaitseinspektor vs. Ühtne Kriisilahendusnõukogu ja muud Euroopa Liidu Kohtu praktikat.
Suunised on oluline verstapost anonüümsete andmete mõiste selgitamisel, kehtestades selged standardid, mis hõlbustavad andmete kasutamist, kaitstes samal ajal üksikisikute põhiõigusi.
Nende suuniste väljatöötamisel lisasime väärtusliku panuse oma sidusrühmade ürituselt, näidates veel kord oma kindlat pühendumust koostöödialoogile, nagu on kirjeldatud Euroopa Andmekaitsenõukogu Helsingi avalduses.
Euroopa Andmekaitsenõukogu eesistuja Anu Talus
Andmed on anonüümsed, kui need ei ole seotud tuvastatud või tuvastatava füüsilise isikuga. See, kas see nii on, võib majandusüksuseti erineda.
Teave võib olla seotud üksikisikuga selle sisu, eesmärgi või mõju tõttu. Sellise seose olemasolu ei pruugi olla kohe ilmne ja võib vajada täiendavat analüüsi.
Üksikisikut peetakse "identifitseeritavaks või tuvastatavaks", kui teda saab konkreetses kontekstis teistest eristada vahendite abil, mida mõistlikult tõenäoliselt kasutatakse viisil, mis võimaldab teda erinevalt kohelda. See, kas vahendite kasutamine on mõistlikult tõenäoline, sõltub asjaomase üksuse seisukohast ja seda tuleks hinnata kõiki objektiivseid tegureid arvesse võttes.
Suunised annavad organisatsioonidele ka praktilise raamistiku, et teha kindlaks, kas anonüümimine on edukas. Raamistikku saab kohaldada kahel viisil: kas hinnates erinevusi nende isikute suutlikkuses, kes võivad isiku tuvastada (kontekstipõhine lähenemisviis), või lihtsuse huvides jättes sellised erinevused arvesse võtmata (lihtsustatud lähenemisviis), kui vastutav töötleja otsustab seda teha. Kontekstuaalne lähenemisviis kajastab anonüümimise õigusliku standardi kõiki nüansse. Lihtsustatud lähenemisviis võib minna kaugemale õiguslikust standardist ja võib viia selleni, et anonüümiv vastutav töötleja käsitleb andmeid nii, nagu need ei oleks anonüümsed, isegi kui see oleks mõne asjaomase üksuse jaoks tegelikult nii, kuid selline lähenemisviis võib olla mugavam ja anda suurema kindluse, et andmed on tegelikult anonüümsed.
Raamistikus kasutatakse kolme kriteeriumi, et kontrollida, kas andmed on anonüümsed: 1) puuduvad andmed isolatsiooni kohta, 2) puuduvad seosed ja 3) puuduvad järeldused. Kui kõik kolm kriteeriumi on täidetud, võib andmeid ohutult pidada anonüümseks. Kui mõni neist kriteeriumidest ei ole täidetud, tuleks teha täiendav analüüs, et teha kindlaks, kas andmeid võib pidada anonüümseks.
Suuniste üle toimub avalik konsultatsioon kuni 30. oktoobrini 2026, mis annab sidusrühmadele võimaluse esitada märkusi ja tagasisidet.
Veebi kraapimise andmekaitsealase mõju selgitamine tehisintellekti arendamisele
Veebi kraapimine on suuremahuline automatiseeritud andmete ekstraheerimise protsess, mis sageli toimib ilma üksikisikute teadmata ja mis võib kujutada endast märkimisväärset ohtu nende isikuandmete kaitsele. Andmekaitsenõukogu selgitab oma suunistes veebi kraapimise kohta generatiivse tehisintellekti* kontekstis mitmesuguseid aspekte, mis on seotud veebi kraapimise vastavusega isikuandmete kaitse üldmäärusele, sealhulgas sellise tegevuse õiguslikku alust ja tingimusi, mille alusel võib andmete eriliike selles kontekstis töödelda.
Isikuandmete kaitse üldmäärust kohaldatakse veebi kraapimise suhtes, kui see hõlmab isikuandmete töötlemise toiminguid, nagu kogumine,säilitamine, korraldamine ja väljavõtete tegemine.
Veebi kraapimisele tuginedes tuleb erilist tähelepanu pöörata eesmärgi piiramise põhimõttele ja läbipaistvuse põhimõttele. Sõltuvalt sellest, kuidas andmete töötlemine on täpselt kavandatud, ei pruugi vastutav töötleja siiski olla kohustatud üksikisikuid isiklikult teavitama, kui see osutub võimatuks või nõuab ülemääraseid jõupingutusi.
Euroopa Andmekaitsenõukogu soovitab andmete kraapimist ainult usaldusväärsetest allikatest, ajatempli salvestamist ja andmete valideerimist enne nende kasutamist tehisintellektialases koolituses, et tagada vastavus täpsuse põhimõttele. Suunistes antakse ka nõu meetmete kohta, mida vastutav töötleja peaks rakendama, et järgida võimalikult väheste andmete kogumise põhimõtet.
Tuginedes Euroopa Andmekaitsenõukogu arvamusele tehisintellektimudelite kohta, esitatakse suunistes täiendavaid selgitusi ja näiteid õigustatud huvi õigusliku aluse kasutamise kohta tehisintellekti treenimise veebikraapimise konkreetses kontekstis.
Lõpuks tuletab Euroopa Andmekaitsenõukogu meelde, et isikuandmete eriliikide töötlemine on põhimõtteliselt keelatud. Kui veebi kraapimine hõlmab selliseid andmeid, on nõutav nii isikuandmete kaitse üldmääruse artikli 6 kohane õiguslik alus kui ka artikli 9 lõike 2 kohane erand. Euroopa Andmekaitsenõukogu teeb ettepaneku, et Euroopa Kohtu otsus kohtuasjas GC & jt (C-136/17) võib olla asjakohane isikuandmete eriliikide juhusliku või täiendava kogumise puhul, tingimusel et vastutav töötleja tegutseb oma kohustuste, volituste ja suutlikkuse raamistikus ning rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, et takistada selliste andmete kogumist ja levitamist. Andmekaitsenõukogu rõhutab, et puudub üldine erand isikuandmete kaitse üldmääruse artikli 9 nõuetest ja iga juhtumit tuleb hinnata eraldi, et teha kindlaks, kas Euroopa Kohtu põhjendus kehtib.
Suuniste üle toimub avalik konsultatsioon kuni 30. oktoobrini 2026, mis annab sidusrühmadele võimaluse esitada märkusi ja anda tagasisidet.
Plokiahelate suunised valmisid pärast avalikku konsultatsiooni
Pärast avalikku konsultatsiooni võttis Euroopa Andmekaitsenõukogu vastu plokiahela tehnoloogiaid käsitlevate suuniste lõpliku versiooni. Suunised aitavad plokiahela tehnoloogiaid kasutavatel organisatsioonidel järgida isikuandmete kaitse üldmäärust. Euroopa Andmekaitsenõukogu selgitab plokiahelate toimimist, hinnates erinevaid võimalikke struktuure ja nende mõju isikuandmete töötlemisele.
Kooskõlas Helsingi avalduse eesmärgiga tugevdada dialoogi sidusrühmadega on andmekaitsenõukogu avaldanud ka aruande spetsiaalse avaliku konsultatsiooni tulemuste kohta ning suuniste muudatuste kava versiooni.
Märkus toimetajatele:
*Generatiivne tehisintellekt on tehnoloogia, mille eesmärk on luua uut sisu, õppides olemasolevatest andmetest mustreid. See kasutab spetsiaalseid masinõppemudeleid, mille eesmärk on toota mitmesuguseid ja üldisi väljundeid, nagu tekst, pilt või heli.
See on masintõlge ja võib sisaldada vigu. See ei asenda ametlikku ingliskeelset versiooni.