EDPB: Nove smernice

EDPB: Nove smernice
09. 07. 2026 objavil/a Simona Kidrič

Evropski odbor za varstvo podatkov je sprejel nove smernice o anonimizaciji, smernice o spletnem strganju podatkov (web scrapingu) v kontekstu generativne UI ter končno različico smernic o obdelavi osebnih podatkov z uporabo blockchain tehnologij.

Novica je bila objavljena 8. 7. 2026.

EDPB je prvič pripravil celovit okvir za presojo, kdaj se lahko podatki dejansko štejejo za anonimne in zato ne sodijo več na področje uporabe GDPR. Pri tem smernice upoštevajo tudi sodno prakso Sodišča Evropske unije, zlasti sodbo v zadevi EDPS proti SRB iz leta 2025.

Smernice poudarjajo, da podatek ni anonimen zgolj zato, ker neposredno ne vsebuje imena posameznika. Ključno vprašanje je, ali je posameznika mogoče identificirati ali razlikovati od drugih z uporabo sredstev, ki jih je razumno pričakovati.

Za lažjo presojo EDPB predstavlja dva pristopa. Prvi je kontekstualni pristop, ki upošteva dejanske zmožnosti različnih subjektov za ponovno identifikacijo posameznika. Drugi je poenostavljen pristop, pri katerem upravljavec ne razlikuje med posameznimi subjekti in uporablja strožji standard, kar lahko pomeni večjo pravno varnost, čeprav je v praksi bolj konservativen.

Uspešnost anonimizacije je po smernicah treba presojati skozi tri kriterije. Podatki ne smejo omogočati izolacije posameznika, povezovanja podatkov iz različnih virov ali sklepanja novih informacij o posamezniku. Če kateri od teh pogojev ni izpolnjen, je potrebna dodatna presoja, ali podatke sploh še lahko štejemo za anonimne.

Celotno besedilo osnutka smernic je dostopno tukaj.

EDPB podrobneje ureja spletno strganje podatkov za razvoj generativne umetne inteligence

Posebno pozornost namenjajo tudi spletnemu strganju podatkov, ki predstavlja eno ključnih metod zbiranja podatkov za učenje modelov generativne umetne inteligence.

EDPB poudarja, da se GDPR uporablja vedno, kadar spletno strganje vključuje obdelavo osebnih podatkov, ne glede na to, da so ti podatki javno dostopni na spletu. Obdelava tako zajema zbiranje, shranjevanje, organiziranje in nadaljnjo uporabo podatkov za učenje modelov umetne inteligence.

Smernice opozarjajo predvsem na pomen načela omejitve namena in načela preglednosti. Upravljavci morajo že ob načrtovanju obdelave jasno določiti namen zbiranja podatkov in oceniti, kako bodo posameznikom zagotovili informacije o obdelavi. V določenih primerih individualno obveščanje posameznikov sicer ni potrebno, če bi bilo objektivno nemogoče ali bi zahtevalo nesorazmeren napor.

EDPB priporoča, da upravljavci podatke zbirajo le iz zanesljivih virov, evidentirajo čas njihovega zajema ter pred uporabo preverijo njihovo točnost. Prav tako morajo sprejeti ukrepe za spoštovanje načela najmanjšega obsega podatkov in obdelovati le tiste osebne podatke, ki so dejansko potrebni za dosego zakonitega namena.

Pomemben del smernic predstavlja tudi razlaga uporabe zakonitega interesa kot pravne podlage za spletno strganje podatkov v okviru razvoja umetne inteligence. EDPB nadgrajuje svoje prejšnje mnenje o modelih umetne inteligence in podaja dodatna pojasnila ter praktične primere uporabe te pravne podlage.

Posebej izpostavljena je tudi obdelava posebnih vrst osebnih podatkov. EDPB ponovno poudarja, da je njihova obdelava načeloma prepovedana. Če spletno strganje zajame takšne podatke, mora upravljavec poleg ustrezne pravne podlage iz 6. člena GDPR izpolnjevati tudi enega izmed pogojev iz 9. člena GDPR. Dejstvo, da gre za naključno ali preostalo zbiranje posebnih vrst osebnih podatkov, samo po sebi ne pomeni izjeme od teh zahtev. Vsak primer je treba presojati individualno.

Celotno besedilo osnutka smernic je dostopno tukaj.

Končna različica smernic o blockchain tehnologijah

EDPB je po zaključeni javni obravnavi sprejel tudi končno različico smernic o uporabi blockchain tehnologij.

Smernice podrobneje pojasnjujejo različne arhitekture blockchain sistemov ter njihove posledice za obdelavo osebnih podatkov. Namenjene so organizacijam, ki blockchain uporabljajo ali ga nameravajo vključiti v svoje poslovanje, pri čemer predstavljajo pomembno pomoč pri zagotavljanju skladnosti z GDPR.

Ob objavi končne različice je EDPB objavil tudi poročilo o javnem posvetovanju in dokument s prikazom vseh sprememb, ki so bile sprejete po prejetih pripombah.

Končna različica smernic je dostopna tukaj.

Vir: EDPB

Naslovna fotografija: Unsplash