Az Európai Adatvédelmi Testület fényt derít a generatív mesterséges intelligencia anonimizálására és webes kaparására, és elfogadja a blokkláncra vonatkozó iránymutatások végleges változatát
Brüsszel, július 8. – Legutóbbi plenáris ülésén az Európai Adatvédelmi Testület iránymutatásokat fogadott el az anonimizálásról és a webes kaparásról a generatív mesterséges intelligenciával összefüggésben. Emellett a Testület elfogadta a személyes adatok blokklánc-technológiák révén történő kezelésére vonatkozó iránymutatásainak végleges változatát.
Az anonim adatok megértése
Az Európai Adatvédelmi Testület új iránymutatásai egyértelművé teszik az anonim adatok fogalmát, figyelembe véve az Európai Unió Bíróságának a C-413/23. P. sz., európai adatvédelmi biztos kontra ESZT ügyben 2025. szeptember 4-én hozott ítéletét és az EUB egyéb ítélkezési gyakorlatát is.
Az iránymutatások jelentős mérföldkövet jelentenek az anonim adatok fogalmának tisztázásában, és olyan egyértelmű normákat határoznak meg, amelyek megkönnyítik az adatok felhasználását, miközben védik az egyének alapvető jogait.
Ezen iránymutatások kidolgozása során figyelembe vettük az érdekelt felek részvételével tartott rendezvényünk értékes hozzájárulásait, ami ismételten bizonyítja az Európai Adatvédelmi Testület helsinki nyilatkozatában felvázolt, együttműködésen alapuló párbeszéd iránti szilárd elkötelezettségünket.
az Európai Adatvédelmi Testület elnöke, Anu Talus
Az adatok névtelenek, ha nem azonosított vagy azonosítható természetes személyre vonatkoznak. Az, hogy ez a helyzet áll-e fenn, szervezetenként eltérő lehet.
Az információ tartalmánál, céljánál vagy hatásánál fogva vonatkozhat az egyénre. Az ilyen kapcsolat fennállása nem feltétlenül nyilvánvaló azonnal, és további elemzést tehet szükségessé.
Egy személy akkor tekinthető "azonosítottnak vagy azonosíthatónak", ha egy adott összefüggésben meg lehet különböztetni másoktól olyan eszközök használatával, amelyeket ésszerűen valószínűsíthetően olyan módon használnak, amely lehetővé teszi az eltérő bánásmódot. Az, hogy észszerűen valószínű-e az eszközök használata, az érintett szervezet nézőpontjától függ, és azt valamennyi objektív tényező fényében kell értékelni.
Az iránymutatások gyakorlati keretet is biztosítanak a szervezetek számára annak megállapításához, hogy az anonimizálás sikeres-e. A keret kétféleképpen alkalmazható: vagy az egyén azonosítására alkalmas személyek képességei közötti különbségek értékelésével („kontextuális megközelítés”), vagy az egyszerűség kedvéért az ilyen különbségek figyelmen kívül hagyásával („egyszerűsített megközelítés”), ha az adatkezelő ezt választja. A kontextuális megközelítés az anonimizálás jogi normájának teljes árnyalatait tükrözi. Az egyszerűsített megközelítés túlmutathat a jogi normákon, és arra késztetheti az anonimizáló adatkezelőt, hogy az adatokat úgy kezelje, mintha azok nem lennének névtelenek, még akkor is, ha egyes érintett szervezetek esetében ez valóban így lenne, de ez a megközelítés kényelmesebb lehet, és nagyobb bizalmat biztosíthat az adatok tényleges névtelenségével kapcsolatban.
A keretrendszer 3 kritériumot használ annak tesztelésére, hogy az adatok névtelenek-e: 1) nincs rekord izoláció, 2) nincs kapcsolat , és 3) nincs következtetés. Ha mindhárom kritérium teljesül, az adatok biztonságosan anonimnak tekinthetők. Ha e kritériumok bármelyike nem teljesül, további elemzést kell végezni annak megállapítására, hogy az adatok névtelennek tekinthetők-e.
Az iránymutatásokról 2026. október 30-ignyilvános konzultációra kerül sor, amely lehetőséget biztosít az érdekelt felek számára, hogy észrevételeket tegyenek és visszajelzést adjanak.
A webes kaparás adatvédelmi vonatkozásainak tisztázása a mesterséges intelligencia fejlesztése szempontjából
A webes kaparás egy nagyszabású automatizált adatkinyerési folyamat, amely gyakran anélkül működik, hogy az egyének tudatában lennének, és amely jelentős kockázatot jelenthet személyes adataik védelmére nézve. A generatív mesterséges intelligenciával* összefüggésben végzett webes kaparásra vonatkozó iránymutatásaiban a Testület tisztázza a webes kaparás általános adatvédelmi rendeletnek való megfelelésének különböző szempontjait, beleértve az ilyen tevékenységek jogalapját és azokat a feltételeket, amelyek mellett ebben az összefüggésben különleges adatkategóriák kezelhetők.
Az általános adatvédelmi rendelet akkor alkalmazandó a webes adatgyűjtésre, ha az személyesadat-kezelési műveleteket, például gyűjtést, tárolást, szervezést és visszakeresést foglal magában.
A webes kaparás használatakor különös figyelmet kell fordítani a célhoz kötöttség elvére és az átláthatóság elvére. Az adatkezelés pontos módjától függően azonban előfordulhat, hogy az adatkezelőnek nem kell személyesen tájékoztatnia az egyéneket, ha ez lehetetlennek bizonyul, vagy túlzott erőfeszítést igényel.
Az Európai Adatvédelmi Testület azt ajánlja, hogy a pontosság elvének való megfelelés biztosítása érdekében csak megbízható forrásokból gyűjtsenek adatokat, rögzítsék az időbélyegzőt, és validálják az adatokat, mielőtt felhasználnák őket a mesterséges intelligenciával kapcsolatos képzésben. Az iránymutatások tanácsot adnak arra vonatkozóan is, hogy az adatkezelőnek milyen intézkedéseket kell végrehajtania az adatminimalizálás elvének való megfelelés érdekében.
Az Európai Adatvédelmi Testület mesterségesintelligencia-modellekről szóló véleményére építve az iránymutatások további pontosításokkal és példákkal szolgálnak a jogos érdek jogalapjának a mesterséges intelligenciával kapcsolatos képzéshez szükséges webes kaparás konkrét összefüggésében történő használatával kapcsolatban.
Végezetül az Európai Adatvédelmi Testület emlékeztet arra, hogy a személyes adatok különleges kategóriáinak kezelése elvben tilos. Ha a webes kaparás ilyen adatokat tartalmaz, mind az általános adatvédelmi rendelet 6. cikke szerinti jogalap, mind az általános adatvédelmi rendelet 9. cikkének (2) bekezdése szerinti kivétel szükséges. Az Európai Adatvédelmi Testület azt javasolja, hogy a Bíróság GC & Others ügyben (C-136/17) hozott ítélete releváns lehet a személyes adatok különleges kategóriáinak véletlenszerű vagy fennmaradó gyűjtése szempontjából, feltéve, hogy az adatkezelő „felelősségei, hatáskörei és képességei keretein belül” jár el, és megfelelő technikai és szervezési intézkedéseket hajt végre az ilyen adatok gyűjtésének és terjesztésének megakadályozása érdekében. A Testület hangsúlyozza, hogy nincs általános mentesség az általános adatvédelmi rendelet 9. cikkében foglalt követelmények alól, és minden esetet egyedileg kell értékelni annak meghatározása érdekében, hogy a Bíróság érvelése alkalmazandó-e.
Az iránymutatásokról 2026. október 30-ig nyilvános konzultációra kerül sor, amely lehetőséget biztosít az érdekelt felek számára, hogy észrevételeket tegyenek és visszajelzést adjanak.
Nyilvános konzultációt követően véglegesítették a blokkláncokra vonatkozó iránymutatásokat
Nyilvános konzultációt követően az Európai Adatvédelmi Testület elfogadta a blokklánc-technológiákra vonatkozó iránymutatásainak végleges változatát. Az iránymutatások segítik a blokklánc-technológiákat használó szervezeteket abban, hogy megfeleljenek az általános adatvédelmi rendeletnek. Az Európai Adatvédelmi Testület ismerteti a blokkláncok működését, értékelve a különböző lehetséges architektúrákat és azoknak a személyes adatok kezelésére gyakorolt hatásait.
A helsinki nyilatkozatnak az érdekelt felekkel folytatott párbeszéd megerősítésére irányuló célkitűzésével összhangban a Testület jelentést is közzétett a célzott nyilvános konzultáció eredményéről, valamint közzétette az iránymutatások módosított változatát.
Megjegyzés a szerkesztőknek:
*A generatív mesterséges intelligencia olyan technológia, amelynek célja új tartalmak létrehozása a meglévő adatokból való tanulás révén. Speciális gépi tanulási modelleket használ, amelyek célja a kimenetek széles és általános választékának, például szövegnek, képnek vagy hangnak a előállítása.
Ez egy automatikus fordítás, amely hibákat tartalmazhat. Nem helyettesíti a hivatalos angol nyelvű változatot.