EROD wyjaśnia kwestie anonimizacji i web scrapingu w kontekście generatywnej AI oraz przyjmuje ostateczną wersję wytycznych dotyczących technologii blockchain
Podczas 122. posiedzenia plenarnego EROD, które odbyło się 7 lipca 2026 r., EROD przyjęła wytyczne dotyczące anonimizacji oraz wytyczne dotyczące web scrapingu w kontekście generatywnej sztucznej inteligencji. Ponadto EROD przyjęła ostateczną wersję wytycznych dotyczących przetwarzania danych osobowych za pomocą technologii blockchain.
Zrozumienie pojęcia danych anonimowych
Nowe wytyczne EROD wyjaśniają pojęcie danych anonimowych, uwzględniając również orzeczenie Trybunału Sprawiedliwości UE w sprawie C-413/23 P EDPS przeciwko SRB z dnia 4 września 2025 r. i inne orzeczenia TSUE.
„Wytyczne te stanowią kamień milowy w wyjaśnianiu pojęcia danych anonimowych, ustanawiając jasne standardy, które ułatwiają wykorzystanie danych, jednocześnie chroniąc podstawowe prawa osób fizycznych.
Opracowując te wytyczne, uwzględniliśmy cenne uwagi zgłoszone podczas spotkania z interesariuszami, co po raz kolejny świadczy o naszym silnym zaangażowaniu na rzecz dialogu opartego na współpracy, zgodnie z oświadczeniem helsińskim EROD” - Przewodnicząca EROD, Anu Talus.
Dane są anonimowe, jeśli nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. To, czy tak jest w danym przypadku, może się różnić w zależności od podmiotu.
Informacje mogą odnosić się do konkretnej osoby ze względu na ich treść, cel lub skutek. Istnienie takiego powiązania może nie być od razu oczywiste i może wymagać dalszej analizy.
Osoba fizyczna jest uznawana za „zidentyfikowaną lub możliwą do zidentyfikowania”, jeżeli w konkretnym kontekście można ją odróżnić od innych osób, przy użyciu środków, których zastosowanie jest racjonalnie prawdopodobne, w sposób umożliwiający traktowanie jej w sposób odmienny. To, czy zastosowanie tych środków jest racjonalnie prawdopodobne, zależy od punktu widzenia danego podmiotu i powinno być oceniane w świetle wszystkich obiektywnych czynników.
Wytyczne stanowią również praktyczne ramy pozwalające organizacjom ustalić, czy anonimizacja przebiegła pomyślnie. Ramy te można stosować na dwa sposoby: albo poprzez ocenę różnic w możliwościach tych podmiotów, które mogłyby zidentyfikować daną osobę („podejście kontekstowe”), albo – dla uproszczenia – poprzez pominięcie takich różnic („podejście uproszczone”), jeśli administrator danych zdecyduje się na takie działanie. Podejście kontekstowe odzwierciedla wszystkie niuanse standardu prawnego dotyczącego anonimizacji. Podejście uproszczone może wykraczać poza ten standard prawny i może skłonić administratora przeprowadzającego anonimizację do traktowania danych tak, jakby nie były one anonimowe, nawet jeśli w rzeczywistości byłyby takie dla niektórych istotnych podmiotów, jednak podejście to może być wygodniejsze i zapewniać większą pewność, że dane są rzeczywiście anonimowe.
W ramach tych wytycznych stosuje się trzy kryteria sprawdzające, czy dane są anonimowe: 1) brak wyodrębnienia rekordów, 2) brak powiązań oraz 3) brak wnioskowania. Jeśli wszystkie trzy kryteria są spełnione, dane można bezpiecznie uznać za anonimowe. Jeśli którekolwiek z tych kryteriów nie jest spełnione, należy przeprowadzić dalszą analizę w celu ustalenia, czy dane można uznać za anonimowe.
Wytyczne będą przedmiotem konsultacji publicznych do 30 października 2026 r., dając interesariuszom możliwość zgłoszenia uwag i przekazania opinii.
Wyjaśnienie skutków web scrapingu dla ochrony danych w kontekście rozwoju sztucznej inteligencji
Web scraping to proces automatycznego pozyskiwania danych na dużą skalę, który często odbywa się bez wiedzy osób fizycznych i może stanowić poważne zagrożenie dla ochrony ich danych osobowych. W swoich wytycznych dotyczących web scrapingu w kontekście generatywnej sztucznej inteligencji* EROD wyjaśnia różne aspekty zgodności web scrapingu z RODO, w tym podstawę prawną takich działań oraz warunki, na jakich w tym kontekście można przetwarzać dane szczególnych kategorii.
RODO ma zastosowanie do web scrapingu, gdy obejmuje on operacje przetwarzania danych osobowych, takie jak gromadzenie, przechowywanie, organizowanie i pobieranie.
W przypadku korzystania z automatycznego pobierania danych z internetu należy zwrócić szczególną uwagę na zasadę ograniczenia celu oraz zasadę przejrzystości. Jednak w zależności od konkretnego sposobu zaprojektowania przetwarzania danych administrator może nie być zobowiązany do osobistego informowania osób fizycznych, jeśli okaże się to niemożliwe lub wymagałoby nadmiernego wysiłku.
EROD zaleca automatyczne pobieranie danych z internetu wyłącznie z wiarygodnych źródeł, rejestrowanie znacznika czasu oraz weryfikację danych przed wykorzystaniem ich do szkolenia modeli sztucznej inteligencji w celu zapewnienia zgodności z zasadą prawidłowości. Wytyczne zawierają również wskazówki dotyczące środków, jakie administrator powinien wdrożyć, aby zachować zgodność z zasadą minimalizacji danych.
Opierając się na opinii EROD w sprawie modeli sztucznej inteligencji, wytyczne zawierają dalsze wyjaśnienia i przykłady dotyczące stosowania podstawy prawnej w postaci prawnie uzasadnionego interesu w konkretnym kontekście automatycznego pobierania danych z internetu na potrzeby szkolenia modeli sztucznej inteligencji.
Na koniec EROD przypomina, że przetwarzanie szczególnych kategorii danych osobowych jest co do zasady zabronione. Jeśli web scraping dotyczy takich danych, wymagana jest zarówno podstawa prawna zgodnie z art. 6 RODO, jak i wyjątek zgodnie z art. 9 ust. 2 RODO. EROD sugeruje, że orzeczenie Trybunału w sprawie GC i inni (C-136/17) może mieć znaczenie w przypadku przypadkowego lub szczątkowego gromadzenia szczególnych kategorii danych osobowych, pod warunkiem że administrator działa w „ramach swoich obowiązków, uprawnień i możliwości” oraz wdraża odpowiednie środki techniczne i organizacyjne, aby zapobiec gromadzeniu i rozpowszechnianiu takich danych. EROD podkreśla, że nie istnieje ogólne wyłączenie z wymogów art. 9 RODO i każdy przypadek należy oceniać indywidualnie w celu ustalenia, czy ma zastosowanie stanowisko Trybunału.
Wytyczne będą przedmiotem konsultacji publicznych do dnia 30 października 2026 r., dając interesariuszom możliwość zgłoszenia uwag i przekazania opinii.
Wytyczne dotyczące technologii blockchain sfinalizowane po konsultacjach publicznych
W wyniku konsultacji publicznych EROD przyjęła ostateczną wersję wytycznych dotyczących technologii blockchain. Wytyczne te pomagają organizacjom korzystającym z technologii blockchain w zapewnieniu zgodności z RODO. EROD wyjaśnia, na czym polega działanie technologii blockchain, oceniając różne możliwe architektury oraz ich konsekwencje dla przetwarzania danych osobowych.
Zgodnie z celem oświadczenia helsińskiego, jakim jest wzmocnienie dialogu z interesariuszami, EROD opublikowała również raport dotyczący wyników specjalnych konsultacji publicznych, a także wersję wytycznych z zaznaczonymi zmianami.
Uwaga dla redaktorów:
*Generatywna sztuczna inteligencja to technologia mająca na celu tworzenie nowych treści poprzez uczenie się wzorców na podstawie istniejących danych. Wykorzystuje ona specjalistyczne modele uczenia maszynowego zaprojektowane do generowania szerokiej i ogólnej gamy wyników, takich jak tekst, obraz lub dźwięk.
Komunikat prasowy EROD: https://www.edpb.europa.eu/news/edpb-sheds-light-on-anonymisation-and-web-scraping-for-generative-ai-and-adopts-final-version_pl
Agenda 122. posiedzenia plenarnego EROD: https://www.edpb.europa.eu/meetings/122nd-plenary-meeting_pl