ЕКЗД хвърля светлина върху анонимизирането и извличането на данни от мрежата за генеративен ИИ и приема окончателна версия на насоките относно блоковата верига
Брюксел, 8 юли — По време на последното си пленарно заседание ЕКЗД прие насоки относно анонимизирането и насоки относно извличането на данни от уебсайтове в контекста на генеративния ИИ. Освен това Комитетът прие окончателната версия на своите насоки относно обработването на лични данни чрез технологии на блоковата верига.
Разбиране на анонимните данни
Новите насоки на ЕКЗД внасят яснота в понятието „анонимни данни“, като вземат предвид и решението на Съда на ЕС по дело C-413/23 P ЕНОЗД/ЕСП от 4 септември 2025 г. и друга съдебна практика на Съда на ЕС.
Насоките отбелязват важен етап в изясняването на понятието за анонимни данни, като установяват ясни стандарти, които улесняват използването на данни, като същевременно защитават основните права на физическите лица.
При разработването на тези насоки включихме ценен принос от нашата проява на заинтересованите страни, като още веднъж показахме твърдия си ангажимент за диалог за сътрудничество, както е посочено в изявлението на ЕКЗД от Хелзинки.
Председател на ЕКЗД, Ану Талус
Данните са анонимни, ако не са свързани с идентифицирано или подлежащо на идентификация физическо лице. Дали това е така, може да е различно за различните субекти.
Информацията може да се отнася до физическо лице поради нейното съдържание, цел или въздействие. Съществуването на такава връзка може да не е непосредствено очевидно и може да изисква допълнителен анализ.
Дадено лице се счита за "идентифицирано или идентифицируемо", ако може да бъде разграничено от другите в конкретен контекст, като се използват средства, за които има разумна вероятност да бъдат използвани по начин, който дава възможност за различното им третиране. Дали има разумна вероятност средствата да бъдат използвани зависи от гледната точка на съответния субект и следва да се оценява с оглед на всички обективни фактори.
Насоките също така предоставят практическа рамка за организациите, за да определят дали анонимизирането е успешно. Рамката може да се прилага по два начина: или чрез оценка на разликите в способностите между лицата, които биха могли да идентифицират лицето („контекстуален подход“), или с цел опростяване, като не се вземат предвид тези разлики („опростен подход“), ако администраторът реши да направи това.Контекстуалният подход отразява пълните нюанси на правния стандарт за анонимизиране. Опростеният подход може да надхвърли правния стандарт и да накара анонимизиращия администратор да третира данните така, сякаш не са анонимни, дори ако това действително би било така за някои съответни субекти, но този подход може да бъде по-удобен и да осигури по-голяма увереност, че данните всъщност са анонимни.
Рамката използва 3 критерия, за да провери дали данните са анонимни: 1) без изолиране на записите, 2) без връзка , и 3) без заключение . Ако и трите критерия са изпълнени, данните могат безопасно да се считат за анонимни. Ако някой от тези критерии не е изпълнен, следва да се направи допълнителен анализ, за да се определи дали данните могат да се считат за анонимни.
Насоките ще бъдат предмет на обществена консултация до 30 октомври 2026 г., като на заинтересованите страни ще бъде предоставена възможност да коментират и да предоставят обратна информация.
Изясняване на последиците за защитата на данните от извличането на данни от интернет за разработването на ИИ
Извличането на данни от мрежата е широкомащабен автоматизиран процес на извличане на данни, който често функционира, без физическите лица да са запознати с него, и който може да представлява значителен риск за защитата на техните лични данни. В своите насоки относно извличането на данни от уебсайтове в контекста на генеративния ИИ* Комитетът изяснява различни аспекти на съответствието на извличането на данни от уебсайтове с ОРЗД, включително правното основание за такива дейности и условията, при които в този контекст могат да бъдат обработвани специални категории данни.
ОРЗД се прилага за извличането на данни от уебсайтове, когато включва операции по обработване на лични данни, като събиране,съхранение, организиране и извличане.
Когато се разчита на извличане на данни от интернет, трябва да се обърне специално внимание на принципа на ограничаване в рамките на целта и на принципа на прозрачност. Въпреки това, в зависимост от това как точно е проектирана обработката на данни, може да не се наложи администраторът да информира лично физическите лица, ако това се окаже невъзможно или изисква прекомерни усилия.
ЕКЗД препоръчва извличането на данни само от надеждни източници, записването на времевия печат и валидирането на данните преди използването им в обучение в областта на ИИ, за да се гарантира спазването на принципа на точност. В насоките също така се дават съвети относно мерките, които администраторът следва да приложи, за да спази принципа за свеждане на данните до минимум.
Въз основа на становището на ЕКЗД относно моделите на ИИ в насоките се предоставят допълнителни разяснения и примери относно използването на правното основание за законен интерес в специфичния контекст на извличането на данни от интернет за обучение в областта на ИИ.
И накрая, ЕКЗД припомня, че обработването на специални категории лични данни по принцип е забранено. Ако извличането на данни от уебсайтове включва такива данни, са необходими както правно основание съгласно член 6 от ОРЗД, така и изключение съгласно член 9, параграф 2 от ОРЗД. ЕКЗД предлага решението на Съда по дело GC & Други (C-136/17) да може да бъде от значение за случайно или остатъчно събиране на специални категории лични данни, при условие че администраторът действа в „рамката на своите отговорности, правомощия и способности“ и прилага подходящи технически и организационни мерки за предотвратяване на събирането и разпространението на такива данни. Комитетът подчертава, че не съществува общо освобождаване от изискванията на член 9 от ОРЗД и всеки случай трябва да се оценява поотделно, за да се определи дали мотивите на Съда са приложими.
Насоките ще бъдат предмет на обществена консултация до 30 октомври 2026 г., като на заинтересованите страни ще бъде предоставена възможност да коментират и да предоставят обратна информация.
Насоки за блоковите вериги, финализирани след обществена консултация
След обществена консултация ЕКЗД прие окончателната версия на своите насоки относно технологиите на блоковата верига. Насоките помагат на организациите, използващи блокчейн технологии, да спазват ОРЗД. ЕКЗД обяснява как функционират блоковите вериги, като оценява различните възможни архитектури и последиците от тях за обработването на лични данни.
В съответствие с целта на изявлението от Хелзинки за засилване на диалога със заинтересованите страни Комитетът публикува и доклад за резултатите от специалната обществена консултация, както и версия на насоките за проследяване на промените.
Бележка към редакторите:
Генериращият ИИ е технология, която има за цел да създава ново съдържание чрез учене на модели от съществуващи данни. Той използва специализирани модели за машинно самообучение, предназначени да произвеждат голямо и общо разнообразие от изходи като текст, изображение или аудио.
Това е автоматичен превод и може да съдържа грешки. Той не замества официалната версия на английски език.