EDPB usvojio smjernice o anonimizaciji i web scrapingu

Bruxelles, 8. srpnja – Tijekom plenarne sjednice 7. srpnja 2026. godine EDPB je usvojio smjernice o anonimizaciji i smjernice o web scrapingu u kontekstu generativne umjetne inteligencije. Osim toga, Odbor je usvojio konačnu verziju svojih smjernica o obradi osobnih podataka putem blockchain tehnologija.

Razumijevanje anonimnih podataka

Nove smjernice EDPB-a donose jasnoću u pogledu pojma anonimnih podataka, uzimajući u obzir presudu Suda Europske unije u predmetu C-413/23 P EDPS protiv SRB-a od 4. rujna 2025. i drugu sudsku praksu Suda EU-a.

Podaci su anonimni ako se ne odnose na identificiranu ili odredivu fizičku osobu. O tome je li to slučaj može ovisiti od jednog subjekta do drugog.

Informacije se mogu odnositi na pojedinca zbog svojeg sadržaja, svrhe ili učinka. Postojanje takve poveznice možda neće biti odmah očito i može zahtijevati dodatnu analizu.

Pojedinac se smatra „identificiranim ili odredivim” ako ga je moguće razlikovati od drugih u određenom kontekstu uporabom „sredstava za koja je razumno vjerojatno da će se koristiti na način koji omogućuje različito postupanje prema toj osobi”. Hoće li se sredstva razumno vjerojatno koristiti ovisit će o perspektivi relevantnog subjekta i treba se procjenjivati s obzirom na sve objektivne čimbenike.

Smjernice također pružaju praktičan okvir koji organizacijama pomaže utvrditi je li anonimizacija uspješna. Okvir se može primijeniti na dva načina: procjenom razlika u sposobnostima onih koji bi mogli identificirati pojedinca („kontekstualni pristup”) ili, radi jednostavnosti, bez uzimanja takvih razlika u obzir („pojednostavljeni pristup”), ako se voditelj obrade za to odluči. Kontekstualni pristup odražava sve nijanse pravnog standarda za anonimizaciju. Pojednostavljeni pristup može ići dalje od pravnog standarda te može dovesti do toga da voditelj obrade koji provodi anonimizaciju s podacima postupa kao da nisu anonimni, iako bi oni za neke relevantne subjekte zapravo bili anonimni. Međutim, taj pristup može biti praktičniji i pružiti veću sigurnost da su podaci doista anonimni.

Okvir koristi tri kriterija za provjeru jesu li podaci anonimni: 1) nema izdvajanja pojedinačnog zapisa, 2) nema povezivanja i 3) nema zaključivanja. Ako su sva tri kriterija ispunjena, podaci se mogu sigurno smatrati anonimnima. Ako neki od tih kriterija nije zadovoljen, potrebno je provesti dodatnu analizu kako bi se utvrdilo mogu li se podaci smatrati anonimnima.

Smjernice će biti predmet javnog savjetovanja do 30. listopada 2026., čime se dionicima pruža prilika za komentare i povratne informacije.

Pojašnjavanje implikacija zaštite podataka kod web scrapinga za razvoj umjetne inteligencije

Web scraping je opsežan automatizirani postupak izdvajanja podataka koji se često provodi bez znanja pojedinaca i koji može predstavljati znatne rizike za zaštitu njihovih osobnih podataka. U svojim smjernicama o web scrapingu u kontekstu generativne umjetne inteligencije, Odbor pojašnjava različite aspekte usklađenosti web scrapinga s GDPR-om, uključujući pravnu osnovu za takve aktivnosti i uvjete pod kojima se u tom kontekstu mogu obrađivati posebne kategorije podataka.

GDPR se primjenjuje na web scraping kada on uključuje radnje obrade osobnih podataka, kao što su prikupljanje, pohrana, organizacija i dohvaćanje.

Pri oslanjanju na web scraping posebnu pozornost treba posvetiti načelu ograničenja svrhe i načelu transparentnosti. Međutim, ovisno o tome kako je obrada podataka točno osmišljena, voditelj obrade možda neće morati osobno obavijestiti pojedince ako se pokaže da je to nemoguće ili da zahtijeva nerazmjeran napor.

EDPB preporučuje prikupljanje podataka samo iz pouzdanih izvora, bilježenje vremenske oznake i provjeru valjanosti podataka prije njihove uporabe za treniranje umjetne inteligencije kako bi se osigurala usklađenost s načelom točnosti. Smjernice također daju savjete o mjerama koje bi voditelj obrade trebao provesti radi usklađenosti s načelom smanjenja količine podataka.

Nadovezujući se na Mišljenje EDPB-a o modelima umjetne inteligencije, smjernice pružaju dodatna pojašnjenja i primjere o uporabi pravne osnove legitimnog interesa u posebnom kontekstu web scrapinga za treniranje umjetne inteligencije.

Naposljetku, EDPB podsjeća da je obrada posebnih kategorija osobnih podataka u načelu zabranjena. Ako web scraping uključuje takve podatke, potrebni su i zakonita osnova prema članku 6. GDPR-a i iznimka prema članku 9. stavku 2. GDPR-a. EDPB sugerira da bi presuda Suda u predmetu GC i drugi (C-136/17) mogla biti relevantna za slučajno ili preostalo prikupljanje posebnih kategorija osobnih podataka, pod uvjetom da voditelj obrade djeluje unutar „okvira svojih odgovornosti, ovlasti i mogućnosti” te provodi odgovarajuće tehničke i organizacijske mjere kako bi spriječio prikupljanje i širenje takvih podataka. Odbor naglašava da ne postoji opće izuzeće od zahtjeva iz članka 9. GDPR-a te da se svaki slučaj mora procijeniti pojedinačno kako bi se utvrdilo primjenjuje li se obrazloženje Suda.

Smjernice će biti predmet javnog savjetovanja do 30. listopada 2026., čime se dionicima pruža prilika za komentare i povratne informacije.

Smjernice o blockchainu dovršene nakon javnog savjetovanja

Nakon javnog savjetovanja, EDPB je usvojio konačnu verziju smjernica o blockchain tehnologijama. Smjernice pomažu organizacijama koje koriste blockchain tehnologije da se usklade s GDPR-om. EDPB objašnjava kako blockchaini funkcioniraju, procjenjujući različite moguće arhitekture i njihove implikacije za obradu osobnih podataka.

U skladu s ciljem Helsinške izjave da se ojača dijalog s dionicima, Odbor je također objavio izvješće o ishodu namjenskog javnog savjetovanja, kao i verziju smjernica s prikazom izmjena.

A

Povezano

Skip to content