EDAV atkreipia dėmesį į generatyvinio DI anoniminimą ir interneto duomenų rinkimą ir priima galutinę blokų grandinės gairių versiją

  • EDPB News

Briuselis, liepos 8 d. Per paskutinę plenarinę sesiją EDAV priėmė anoniminimo gaires ir žiniatinklio išgavimo generatyvinio DI kontekste gaires. Be to, Valdyba priėmė galutinę savo gairių dėl asmens duomenų tvarkymo naudojant blokų grandinės technologijas versiją.

Anoniminių duomenų supratimas

Naujosiose EDAV gairėse paaiškinama anoniminių duomenų sąvoka, taip pat atsižvelgiant į ES Teisingumo Teismo 2025 m. rugsėjo 4 d. sprendimą byloje C-413/23 P EDAPP prieš BPV ir kitą ESTT jurisprudenciją.

Gairės yra svarbus žingsnis išaiškinant anoniminių duomenų sąvoką, nustatant aiškius standartus, kuriais palengvinamas duomenų naudojimas ir kartu apsaugomos asmenų pagrindinės teisės.

Rengdami šias gaires įtraukėme vertingą mūsų suinteresuotųjų subjektų renginio indėlį, dar kartą parodydami tvirtą įsipareigojimą bendradarbiauti, kaip nurodyta EDAV Helsinkio pareiškime.

EDAV pirmininkė, Anu Talus

Duomenys yra anoniminiai, jei jie nėra susiję su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta. Tai, ar taip yra, gali skirtis priklausomai nuo subjekto.

Informacija gali būti susijusi su asmeniu dėl jos turinio, tikslo ar poveikio. Tokio ryšio buvimas gali būti ne iš karto akivaizdus ir gali prireikti papildomos analizės.

Asmuo laikomas asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, jeigu jį galima atskirti nuo kitų asmenų konkrečiomis aplinkybėmis, naudojant priemones, kurios, kaip pagrįstai tikėtina, gali būti naudojamos taip, kad būtų galima su juo elgtis skirtingai. Tai, ar pagrįstai tikėtina, kad priemonės bus naudojamos, priklausys nuo atitinkamo subjekto požiūrio ir turėtų būti vertinama atsižvelgiant į visus objektyvius veiksnius.

Gairėse taip pat pateikiama praktinė sistema, pagal kurią organizacijos gali nustatyti, ar anoniminimas yra sėkmingas. Sistema gali būti taikoma dviem būdais: vertinant asmenų, kurie galėtų nustatyti asmens tapatybę, gebėjimų skirtumus („kontekstinis požiūris“) arba paprastumo sumetimais neatsižvelgiant į tokius skirtumus („supaprastintas požiūris“), jei duomenų valdytojas taip nusprendžia. Kontekstinis požiūris atspindi visus teisinio nuasmeninimo standarto niuansus. Supaprastintas metodas gali būti griežtesnis nei teisinis standartas ir duomenų valdytojas, kuris duomenis laiko anoniminiais, gali juos traktuoti taip, tarsi jie nebūtų anoniminiai, net jei kai kurie atitinkami subjektai iš tikrųjų taip darytų, tačiau šis metodas gali būti patogesnis ir suteikti daugiau pasitikėjimo, kad duomenys iš tikrųjų yra anoniminiai.

Sistemoje naudojami 3 kriterijai, pagal kuriuos tikrinama, ar duomenys yra anoniminiai: 1) nėra įrašo izoliacijos, 2) nėra ryšio , ir 3) nėra išvados . Jei tenkinami visi 3 kriterijai, duomenys gali būti saugiai laikomi anonimiškais. Jei kuris nors iš šių kriterijų netenkinamas, reikėtų atlikti tolesnę analizę siekiant nustatyti, ar duomenys gali būti laikomi anonimiškais.

Dėl gairių iki 2026 m. spalio 30 d. vyks viešos konsultacijos, per kurias suinteresuotieji subjektai turės galimybę teikti pastabas ir atsiliepimus.

Duomenų apsaugos poveikio duomenų išgavimui kuriant DI išaiškinimas

Žiniatinklio išgryninimas yra didelio masto automatizuotas duomenų išgavimo procesas, kuris dažnai vykdomas asmenims apie tai nežinant ir kuris gali kelti didelį pavojų jų asmens duomenų apsaugai. Savo gairėse dėl saityno duomenų išgavimo generatyvinio DI* kontekste Valdyba paaiškina įvairius saityno duomenų išgavimo atitikties BDAR aspektus, įskaitant tokios veiklos teisinį pagrindą ir sąlygas, kuriomis šiame kontekste gali būti tvarkomi specialių kategorijų duomenys.

BDAR taikomas duomenų perėmimui iš interneto, kai jis apima asmens duomenų tvarkymo operacijas, pavyzdžiui, rinkimą, saugojimą, organizavimą ir paiešką . 

Naudojantis duomenų nuskaitymu žiniatinklyje, ypatingas dėmesys turi būti skiriamas tikslo apribojimo principui ir skaidrumo principui. Tačiau, priklausomai nuo to, kaip tiksliai tvarkomi duomenys, duomenų valdytojui gali nereikėti asmeniškai informuoti asmenų, jei paaiškėja, kad tai neįmanoma arba tam reikia pernelyg didelių pastangų.

EDAV rekomenduoja surinkti duomenis tik iš patikimų šaltinių, užregistruoti laiko žymą ir patvirtinti duomenis prieš juos naudojant DI mokymuose, kad būtų užtikrinta atitiktis tikslumo principui. Gairėse taip pat patariama, kokias priemones duomenų valdytojas turėtų įgyvendinti, kad būtų laikomasi duomenų kiekio mažinimo principo.

Remiantis EDAV nuomone dėl DI modelių, gairėse pateikiami papildomi paaiškinimai ir pavyzdžiai dėl teisėto intereso teisinio pagrindo naudojimo konkrečiomis aplinkybėmis, susijusiomis su duomenų rinkimu internete DI mokymo tikslais.

Galiausiai EDAV primena, kad specialių kategorijų asmens duomenų tvarkymas iš esmės draudžiamas. Jei žiniatinklio nuskaitymas apima tokius duomenis, reikalingas ir teisėtas pagrindas pagal BDAR 6 straipsnį, ir išimtis pagal BDAR 9 straipsnio 2 dalį. EDAV siūlo, kad Teismo sprendimas GC & kt. (C-136/17) gali būti aktualus atsitiktiniam ar likusiam specialių kategorijų asmens duomenų rinkimui, jei duomenų valdytojas veikia „pagal savo pareigas, įgaliojimus ir pajėgumus“ ir įgyvendina tinkamas technines ir organizacines priemones, kad užkirstų kelią tokių duomenų rinkimui ir sklaidai. Valdyba pabrėžia, kad nėra bendros BDAR 9 straipsnio reikalavimų išimties ir kiekvienas atvejis turi būti vertinamas atskirai, siekiant nustatyti, ar taikomi Teisingumo Teismo argumentai.

Dėl gairių iki 2026 m. spalio 30 d. vyks viešos konsultacijos, per kurias suinteresuotieji subjektai turės galimybę teikti pastabas ir atsiliepimus.

Blokų grandinės gairės, parengtos po viešų konsultacijų

Po viešų konsultacijų EDAV priėmė galutinę savo gairių dėl blokų grandinės technologijų redakciją. Gairės padeda blokų grandinės technologijas naudojančioms organizacijoms laikytis BDAR. EDAV paaiškina, kaip veikia blokų grandinės, įvertindama įvairias galimas struktūras ir jų poveikį asmens duomenų tvarkymui.

Atsižvelgdama į Helsinkio pareiškimo tikslą stiprinti dialogą su suinteresuotaisiais subjektais, Valdyba taip pat paskelbė ataskaitą dėl specialių viešų konsultacijų rezultatų, taip pat gairių pakeitimų versiją.

Pastaba redaktoriams: 
*Bendrasis DI yra technologija, kuria siekiama kurti naują turinį mokantis iš esamų duomenų. Jis naudoja specializuotus mašinų mokymosi modelius, skirtus gaminti platų ir bendrą rezultatų, tokių kaip tekstas, vaizdas ar garsas, įvairovę.

Tai yra automatinis vertimas, kuriame gali būti klaidų. Jis nepakeičia oficialios anglų kalbos versijos.

Relevant topics
Anoniminimas ir pseudonimų suteikimas
Dirbtinis intelektas
Technologijos
Atskaitomybė
Pagrindiniai principai

Latest news

  • EDPB News

EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing

  • EDPB News

One-Stop-Shop case digest on right to object and right to erasure updated

  • EDPB News

Supporting GDPR consistency: EDPB launches dedicated form