Databeskyttelsesrådet kaster lys over anonymisering og webskrabning for generativ kunstig intelligens og vedtager den endelige udgave af retningslinjerne for blockchain
Bruxelles, den 8. juli – Databeskyttelsesrådet har på sit seneste plenarmøde vedtaget retningslinjer for anonymisering og retningslinjer for webskrabning i forbindelse med generativ kunstig intelligens. Derudover har Databeskyttelsesrådet vedtaget den endelige udgave af sine retningslinjer for behandling af personoplysninger gennem blockchainteknologier.
Forståelse af anonyme data
De nye retningslinjer fra Databeskyttelsesrådet skaber klarhed om begrebet anonyme data, idet der også tages hensyn til EU-Domstolens dom i sag C-413/23 P, EDPS mod SRB, af 4. september 2025 og anden retspraksis fra EU-Domstolen.
Retningslinjerne markerer en vigtig milepæl med hensyn til at præcisere begrebet anonyme data og fastsætte klare standarder, der letter anvendelsen af data, samtidig med at enkeltpersoners grundlæggende rettigheder beskyttes.
Ved udarbejdelsen af disse retningslinjer indarbejdede vi værdifuldt input fra vores arrangement for interessenter og viste endnu en gang vores stærke engagement i samarbejdsdialog som skitseret i Databeskyttelsesrådets Helsingforserklæring.
Formanden for Databeskyttelsesrådet, Anu Talus
Data er anonyme, hvis de ikke vedrører en identificeret eller identificerbar fysisk person. Hvorvidt dette er tilfældet kan variere fra en enhed til en anden.
Oplysninger kan vedrøre en person på grund af deres indhold, formål eller virkning. Eksistensen af en sådan forbindelse er måske ikke umiddelbart indlysende og kan kræve yderligere analyse.
En person betragtes som "identificeret eller identificerbar", hvis vedkommende kan skelnes fra andre i en specifik sammenhæng ved hjælp af midler, der med rimelighed kan tænkes anvendt på en måde, der gør det muligt at behandle vedkommende anderledes. Hvorvidt det med rimelighed er sandsynligt, at midlerne vil blive anvendt, afhænger af den relevante enheds perspektiv og bør vurderes i lyset af alle objektive faktorer.
Retningslinjerne udgør også en praktisk ramme for organisationer til at afgøre, om anonymisering er vellykket. Rammen kan anvendes på to måder: enten ved at vurdere forskelle i kapacitet mellem dem, der kan identificere den enkelte ("kontekstuel tilgang"), eller for nemheds skyld ved ikke at tage hensyn til sådanne forskelle ("forenklet tilgang"), hvis en dataansvarlig vælger at gøre dette. Den kontekstuelle tilgang afspejler de fulde nuancer af den retlige standard for anonymisering. Den forenklede tilgang kan gå videre end den retlige standard og kan føre til, at en anonymiserende dataansvarlig behandler oplysninger, som om de ikke er anonyme, selv om det faktisk ville være tilfældet for visse relevante enheder, men denne tilgang kan være mere praktisk og give større tillid til, at oplysninger faktisk er anonyme.
Rammen anvender 3 kriterier til at teste, om data er anonyme: 1) ingen rekordisolation, 2) ingen sammenkædning, og 3) ingen slutning. Hvis alle tre kriterier er opfyldt, kan dataene sikkert betragtes som anonyme. Hvis et eller flere af disse kriterier ikke er opfyldt, bør der foretages yderligere analyser for at afgøre, om dataene kan betragtes som anonyme.
Retningslinjerne vil være genstand for en offentlig høring indtil den 30. oktober 2026 og give interessenterne mulighed for at fremsætte bemærkninger og give feedback.
Præcisering af databeskyttelseskonsekvenserne af webskrabning for udviklingen af kunstig intelligens
Web scraping er en storstilet automatiseret dataudtræk proces, der ofte fungerer uden enkeltpersoner er klar over, og som kan udgøre en betydelig risiko for beskyttelsen af deres personoplysninger. Databeskyttelsesrådet præciserer i sine retningslinjer for webskrabning i forbindelse med generativ kunstig intelligens* forskellige aspekter af overholdelsen af GDPR for webskrabning, herunder retsgrundlaget for sådanne aktiviteter og betingelserne for, at særlige kategorier af oplysninger kan behandles i denne forbindelse.
GDPR finder anvendelse på webskrabning, når det omfatter behandling af personoplysninger såsom indsamling, lagring, organisering og hentning .
Når der anvendes webskrabning, skal der lægges særlig vægt på princippet om formålsbegrænsning og gennemsigtighedsprincippet. Afhængigt af, hvordan databehandlingen er præcist udformet, behøver den dataansvarlige muligvis ikke at underrette enkeltpersoner personligt, hvis dette viser sig at være umuligt eller kræver en uforholdsmæssig stor indsats.
Databeskyttelsesrådet anbefaler, at data kun udtages fra pålidelige kilder, at tidsstemplet registreres, og at dataene valideres, inden de anvendes i AI-træning, for at sikre overholdelse af nøjagtighedsprincippet. Retningslinjerne rådgiver også om foranstaltninger, som den dataansvarlige bør gennemføre for at overholde dataminimeringsprincippet.
På grundlag af Databeskyttelsesrådets udtalelse om AI-modeller indeholder retningslinjerne yderligere præciseringer og eksempler på anvendelsen af retsgrundlaget for legitime interesser i den specifikke sammenhæng med webskrabning til AI-træning.
Endelig minder Databeskyttelsesrådet om, at behandling af særlige kategorier af personoplysninger i princippet er forbudt. Hvis webskrabning involverer sådanne data, kræves der både et retsgrundlag i henhold til artikel 6 i GDPR og en undtagelse i henhold til artikel 9, stk. 2, i GDPR. Databeskyttelsesrådet foreslår, at Domstolens dom i sagen GC & m.fl. (C-136/17) kan være relevant for lejlighedsvis eller resterende indsamling af særlige kategorier af personoplysninger, forudsat at den dataansvarlige handler inden for rammerne af sit ansvar, sine beføjelser og sin kapacitet og gennemfører passende tekniske og organisatoriske foranstaltninger for at forhindre indsamling og formidling af sådanne oplysninger. Databeskyttelsesrådet understreger, at der ikke er nogen generel undtagelse fra kravene i artikel 9 i GDPR, og at hver enkelt sag skal vurderes individuelt for at afgøre, om Domstolens begrundelse finder anvendelse.
Retningslinjerne vil være genstand for en offentlig høring indtil den 30. oktober 2026 og give interessenterne mulighed for at fremsætte bemærkninger og give feedback.
Blockchains-retningslinjer færdiggjort efter offentlig høring
Efter en offentlig høring har Databeskyttelsesrådet vedtaget den endelige udgave af sine retningslinjer for blockchainteknologier. Retningslinjerne hjælper organisationer, der bruger blockchain-teknologier, med at overholde GDPR. Databeskyttelsesrådet forklarer, hvordan blockchains fungerer, og vurderer de forskellige mulige arkitekturer og deres konsekvenser for behandlingen af personoplysninger.
I overensstemmelse med Helsingforserklæringens mål om at styrke dialogen med interessenterne har Databeskyttelsesrådet også offentliggjort en rapport om resultatet af den særlige offentlige høring samt en track changes-udgave af retningslinjerne.
Note til redaktørerne:
Generativ kunstig intelligens er en teknologi, der har til formål at skabe nyt indhold ved at lære mønstre fra eksisterende data. Det bruger specialiserede maskinindlæringsmodeller, der er designet til at producere en bred og generel vifte af output som tekst, billede eller lyd.
Dette er en automatisk oversættelse, som kan indeholde fejl. Den erstatter ikke den officielle engelske version.