SG.hu
Megpróbálja megoldani az MI jogszerűségi problémáját az Európai Adatvédelmi Testület
Az Európai Adatvédelmi Testület (EDPB) közzétett egy véleményt, amely azt vizsgálja, hogy a mesterséges intelligencia fejlesztői hogyan használhatnak személyes adatokat a mesterséges intelligencia modellek - például a nagyméretű nyelvi modellek (LLM) - kifejlesztéséhez és alkalmazásához anélkül, hogy megsértenék az EU adatvédelmi jogszabályait. A Testület kulcsfontosságú irányító szerepet játszik e jogszabályok alkalmazásában, mivel a szabályozói jogérvényesítést támogató iránymutatást ad ki, ezért véleménye fontos.
Az EDPB véleménye többek között a következő területekre terjed ki: a mesterséges intelligenciamodellek anonimnak tekinthetők-e (ami azt jelentené, hogy az adatvédelmi jogszabályok nem lennének alkalmazandók); a „jogos érdekek” jogalapja alkalmazható-e a személyes adatok jogszerű feldolgozására a mesterséges intelligenciamodellek fejlesztése és alkalmazása céljából (ami azt jelentené, hogy az egyének hozzájárulását nem kellene kérni); és a jogellenesen feldolgozott adatok felhasználásával kifejlesztett mesterséges intelligenciamodellek jogszerűen alkalmazhatók-e később.
Az a kérdés, hogy az MI-modellek esetében milyen jogalapra lehet szükség ahhoz, hogy azok megfeleljenek az általános adatvédelmi rendeletnek (GDPR), továbbra is forró és nyitott kérdés marad. Ismert tény, hogy az OpenAI ChatGPT-je ezen a téren bajban van, az adatvédelmi szabályok be nem tartása pedig akár a globális éves forgalom 4%-ának megfelelő büntetést és/vagy az MI-eszközök működésének megváltoztatására vonatkozó utasításokat vonhat maga után. Majdnem egy évvel ezelőtt az olasz adatvédelmi hatóság előzetes megállapítást tett arról, hogy az OpenAI chatbotja megsérti a GDPR-t. Azóta további panaszok érkeztek a technológia ellen, többek között Lengyelországban és Ausztriában, amelyek olyan szempontokra irányultak, mint az emberek adatainak feldolgozására vonatkozó jogalap, az információk kitalálására való hajlam és az egyénekre vonatkozó téves kijelentések kijavításának képtelensége.
A GDPR egyrészt szabályokat tartalmaz arra vonatkozóan, hogy a személyes adatok feldolgozása hogyan történhet jogszerűen, másrészt pedig az egyének számára egy sor adathozzáférési jogot biztosít - többek között azt a lehetőséget, hogy másolatot kérjenek a róluk tárolt adatokról, töröltessék a róluk szóló adatokat, és helyesbítsék a róluk szóló téves információkat. De a "hallucináló" chatbotok számára ezek nem triviális kérdések. De míg a generatív MI-eszközökre gyorsan több GDPR-panasz is érkezett, addig sokkal kevesebb végrehajtás történt. Az EU adatvédelmi hatóságai egyértelműen azon birkóznak, hogyan alkalmazzanak régóta fennálló adatvédelmi szabályokat egy olyan technológiára, amely ennyi adatot igényel a képzéshez. Az EDPB véleménye a felügyeleti szervek döntéshozatalát hivatott segíteni.
Az ír adatvédelmi bizottság (DPC), az a szabályozó hatóság, amely a vélemény által érintett területekre vonatkozóan a Testület véleményének kikérését kezdeményezte - és amely a tavaly év végi jogi váltást követően az OpenAI GDPR-felügyeletét fogja ellátni -, közleményben üdvözölte, hogy az EDPB véleménye „lehetővé teszi az MI-modellek proaktív, hatékony és következetes szabályozását” az egész régióban. "Támogatni fogja továbbá a DPC-nek az új MI-modelleket fejlesztő vállalatokkal való együttműködését, mielőtt azok az uniós piacra lépnének, valamint a DPC-hez benyújtott számos, MI-val kapcsolatos panasz kezelését” - tette hozzá Dale Sunderland biztos.
Amellett, hogy a vélemény útmutatást ad a szabályozóknak a generatív mesterséges intelligenciához való közelítéshez, némi iránymutatást is nyújt a fejlesztőknek arra vonatkozóan, hogy az adatvédelmi szabályozók miként léphetnek fel az olyan sarkalatos kérdésekben, mint a jogszerűség. A fő üzenet azonban az, hogy nem lesz egy egységes megoldás az előttük álló jogi bizonytalanságra. Például a modell anonimitásának kérdését illetően - amelyet a Testület úgy határoz meg, hogy a mesterséges intelligenciamodellnek „nagy valószínűséggel” nem szabad „közvetlenül vagy közvetve azonosítania azokat a személyeket, akiknek adatait a modell létrehozásához felhasználták”, és nagy valószínűséggel nem szabad lehetővé tennie a felhasználók számára, hogy ilyen adatokat nyerjenek ki a modellből azonnali lekérdezéssel. A vélemény hangsúlyozza, hogy ezt „eseti alapon” kell értékelni.
A dokumentum a Testület által „nem előíró és nem kimerítő listát” tartalmaz azokról a módszerekről, amelyekkel a modellfejlesztők bizonyíthatják az anonimitást, például a képzési adatok forrásainak kiválasztása révén, amely lépéseket tartalmaz a személyes adatok gyűjtésének elkerülésére vagy korlátozására (többek között a „nem megfelelő” források kizárásával); adatminimalizálással és szűrési lépésekkel az adatelőkészítési szakaszban, a képzést megelőzően; olyan robusztus „módszertani döntések” meghozatalát, amelyek „jelentősen csökkenthetik vagy kiküszöbölhetik” az azonosíthatóság kockázatát, például a modell általánosításának javítását és a túlillesztés csökkentését célzó „regularizációs módszerek” kiválasztását, valamint olyan adatvédelmi technikák alkalmazását, mint például a differenciált adatvédelem; valamint a modellhez hozzáadott bármely olyan intézkedést, amely csökkentheti annak kockázatát, hogy egy felhasználó lekérdezések útján személyes adatokhoz jusson a képzési adatokból.
Ez azt jelzi, hogy a mesterséges intelligencia fejlesztőinek számos tervezési és fejlesztési döntése befolyásolhatja annak szabályozási értékelését, hogy a GDPR milyen mértékben vonatkozik az adott modellre. Csak a valóban anonim adatok esnek ki a rendelet hatálya alól, ahol nem áll fenn az újbóli azonosítás kockázata - de a mesterséges intelligenciamodellekkel összefüggésben az egyének vagy adataik azonosításának kockázata „nagyon valószínűtlen”. Az EDPB véleményét megelőzően az adatvédelmi hatóságok között volt némi vita a mesterséges intelligenciamodellek anonimitásáról - többek között azt sugallták, hogy a modellek önmagukban soha nem lehetnek személyes adatok -, de a Testület egyértelművé tette, hogy a mesterséges intelligenciamodellek anonimitása nem magától értetődő, eseti értékelésre van szükség.
A vélemény azt is megvizsgálta, hogy a mesterséges intelligencia fejlesztése és alkalmazása során alkalmazható-e jogos érdek jogalap. Ez azért fontos, mert a GDPR-ban csak néhány jogalap áll rendelkezésre, és a legtöbb nem megfelelő a mesterséges intelligencia számára - amint azt az OpenAI már felfedezte az olasz adatvédelmi hatóság végrehajtásán keresztül. A modelleket építő MI-fejlesztők számára valószínűleg a jogos érdek lesz a választott jogalap, mivel ehhez nem kell minden olyan személy hozzájárulását beszerezni, akinek adatait a technológia létrehozásához feldolgozzák. (És tekintettel az LLM-ek képzéséhez használt adatmennyiségre, egyértelmű, hogy a hozzájáruláson alapuló jogalap nem lenne üzletileg vonzó vagy skálázható.)
A Testület véleménye szerint az adatvédelmi hatóságoknak értékelést kell végezniük annak megállapítására, hogy a jogos érdek megfelelő jogalap-e a személyes adatoknak a mesterséges intelligenciamodellek fejlesztése és alkalmazása céljából történő feldolgozására - utalva a szokásos háromlépcsős tesztre, amely megköveteli, hogy a felügyelők mérlegeljék az adatkezelés célját és szükségességét (azaz, hogy jogszerű és konkrét-e; és volt-e alternatív, kevésbé beavatkozó mód a kívánt eredmény elérésére), valamint mérlegelési tesztet végezzenek, hogy megvizsgálják az adatkezelésnek az egyéni jogokra gyakorolt hatását.
Az EDPB véleménye nyitva hagyja a lehetőséget arra, hogy a mesterséges intelligenciamodellek megfeleljenek a jogos érdek jogalapra való hivatkozás valamennyi kritériumának, és azt sugallja, hogy például egy mesterséges intelligenciamodell kifejlesztése egy, a felhasználókat segítő beszélgetőügynök-szolgáltatás működtetésére, vagy egy információs rendszerben a fenyegetések jobb észlelése megfelelne az első tesztnek (jogszerű cél). A második teszt (szükségesség) értékelésénél azt kell vizsgálni, hogy az adatkezelés valóban eléri-e a jogszerű célt, és hogy nincs-e kevésbé beavatkozó módszer a cél elérésére - különös figyelmet fordítva arra, hogy a feldolgozott személyes adatok mennyisége arányos-e a céllal, szem előtt tartva a GDPR adatminimalizálási elvét.
A harmadik teszt (az egyéni jogok mérlegelése) során „figyelembe kell venni az egyes esetek sajátos körülményeit” - olvasható a véleményben. Különös figyelmet kellett fordítani az egyének alapvető jogait érintő, a fejlesztés és a bevezetés során esetlegesen felmerülő kockázatokra. A mérlegelési teszt egy része azt is megköveteli a szabályozó hatóságoktól, hogy vegyék figyelembe az érintettek „ésszerű elvárásait”, vagyis azt, hogy azok az egyének, akiknek az adatait mesterséges intelligencia céljára feldolgozták, számíthattak-e arra, hogy az adataikat ilyen módon használják fel. A releváns szempontok között szerepel, hogy az adatok nyilvánosan hozzáférhetőek voltak-e, az adatok forrása és gyűjtésének kontextusa, az egyén és az adatfeldolgozó közötti bármilyen kapcsolat, valamint a modell lehetséges további felhasználása.
Azokban az esetekben, amikor a mérlegelési teszt sikertelen, mivel az egyének érdekei meghaladják az adatfeldolgozók érdekeit, a Testület szerint az adatkezelésnek az egyénekre gyakorolt hatását korlátozó enyhítő intézkedéseket lehet mérlegelni, amelyeket az „eset körülményeihez” és „a mesterséges intelligenciamodell jellemzőihez”, például a tervezett felhasználáshoz kell igazítani.
A véleményben említett enyhítő intézkedésekre példaként említ technikai intézkedéseket (például a modell anonimitásáról szóló szakaszban felsoroltakat); az álnevesítési intézkedéseket (például olyan ellenőrzést, amely megakadályozza a személyes adatok egyéni azonosítókon alapuló bármilyen kombinációját); a személyes adatok elfedésére vagy hamis személyes adatokkal való helyettesítésére irányuló intézkedést a képzési készletben; olyan intézkedést, amelynek célja, hogy az egyének gyakorolhassák jogaikat (például a lemondás lehetőségét); és átláthatósági intézkedéseket. A vélemény kitér a webes adatgyűjtéssel kapcsolatos kockázatok csökkentésére irányuló intézkedésekre is, amely a Testület szerint „különleges kockázatokat” vet fel.
A vélemény kitér arra a kényes kérdésre is, hogy a szabályozóknak hogyan kell megközelíteniük azokat az MI-modelleket, amelyeket nem jogszerűen feldolgozott adatokon képeztek ki, ahogyan azt a GDPR megköveteli. A Testület azt javasolja, hogy a szabályozók vegyék figyelembe „az egyes esetek körülményeit” - így a válasz arra, hogy az uniós adatvédelmi felügyelők hogyan fognak reagálni azokra az MI-fejlesztőkre, akik ebbe a törvénysértő kategóriába tartoznak: attól függ. Úgy tűnik azonban, hogy a vélemény egyfajta kibúvási záradékot kínál az olyan mesterséges intelligencia-modellek számára, amelyeket esetleg ingatag (jogi) alapokra építettek, mondjuk azért, mert adatokat kaparintottak meg bárhonnan, ahonnan csak tudtak, a következményekre való tekintet nélkül, ha lépéseket tesznek annak biztosítására, hogy a személyes adatokat anonimizálják, mielőtt a modell telepítési fázisba kerül.
Ilyen esetekben - amennyiben a fejlesztő bizonyítani tudja, hogy a modell későbbi üzemeltetése nem jár személyes adatok feldolgozásával - a Testület szerint a GDPR nem lenne alkalmazandó. "Ennélfogva a kezdeti adatkezelés jogellenessége nem befolyásolhatja a modell későbbi működését” - írják. Mindazonáltal kizárólag a végállapotra (anonimizálásra) összpontosítva az EDPB akaratlanul vagy potenciálisan legitimálhatja a webes adatok megfelelő jogalapok nélküli letöltését, ami potenciálisan aláássa a GDPR azon alapelvét, hogy a személyes adatokat minden szakaszban, a gyűjtéstől a megsemmisítésig jogszerűen kell feldolgozni.
Az EDPB véleménye többek között a következő területekre terjed ki: a mesterséges intelligenciamodellek anonimnak tekinthetők-e (ami azt jelentené, hogy az adatvédelmi jogszabályok nem lennének alkalmazandók); a „jogos érdekek” jogalapja alkalmazható-e a személyes adatok jogszerű feldolgozására a mesterséges intelligenciamodellek fejlesztése és alkalmazása céljából (ami azt jelentené, hogy az egyének hozzájárulását nem kellene kérni); és a jogellenesen feldolgozott adatok felhasználásával kifejlesztett mesterséges intelligenciamodellek jogszerűen alkalmazhatók-e később.
Az a kérdés, hogy az MI-modellek esetében milyen jogalapra lehet szükség ahhoz, hogy azok megfeleljenek az általános adatvédelmi rendeletnek (GDPR), továbbra is forró és nyitott kérdés marad. Ismert tény, hogy az OpenAI ChatGPT-je ezen a téren bajban van, az adatvédelmi szabályok be nem tartása pedig akár a globális éves forgalom 4%-ának megfelelő büntetést és/vagy az MI-eszközök működésének megváltoztatására vonatkozó utasításokat vonhat maga után. Majdnem egy évvel ezelőtt az olasz adatvédelmi hatóság előzetes megállapítást tett arról, hogy az OpenAI chatbotja megsérti a GDPR-t. Azóta további panaszok érkeztek a technológia ellen, többek között Lengyelországban és Ausztriában, amelyek olyan szempontokra irányultak, mint az emberek adatainak feldolgozására vonatkozó jogalap, az információk kitalálására való hajlam és az egyénekre vonatkozó téves kijelentések kijavításának képtelensége.
A GDPR egyrészt szabályokat tartalmaz arra vonatkozóan, hogy a személyes adatok feldolgozása hogyan történhet jogszerűen, másrészt pedig az egyének számára egy sor adathozzáférési jogot biztosít - többek között azt a lehetőséget, hogy másolatot kérjenek a róluk tárolt adatokról, töröltessék a róluk szóló adatokat, és helyesbítsék a róluk szóló téves információkat. De a "hallucináló" chatbotok számára ezek nem triviális kérdések. De míg a generatív MI-eszközökre gyorsan több GDPR-panasz is érkezett, addig sokkal kevesebb végrehajtás történt. Az EU adatvédelmi hatóságai egyértelműen azon birkóznak, hogyan alkalmazzanak régóta fennálló adatvédelmi szabályokat egy olyan technológiára, amely ennyi adatot igényel a képzéshez. Az EDPB véleménye a felügyeleti szervek döntéshozatalát hivatott segíteni.
Az ír adatvédelmi bizottság (DPC), az a szabályozó hatóság, amely a vélemény által érintett területekre vonatkozóan a Testület véleményének kikérését kezdeményezte - és amely a tavaly év végi jogi váltást követően az OpenAI GDPR-felügyeletét fogja ellátni -, közleményben üdvözölte, hogy az EDPB véleménye „lehetővé teszi az MI-modellek proaktív, hatékony és következetes szabályozását” az egész régióban. "Támogatni fogja továbbá a DPC-nek az új MI-modelleket fejlesztő vállalatokkal való együttműködését, mielőtt azok az uniós piacra lépnének, valamint a DPC-hez benyújtott számos, MI-val kapcsolatos panasz kezelését” - tette hozzá Dale Sunderland biztos.
Amellett, hogy a vélemény útmutatást ad a szabályozóknak a generatív mesterséges intelligenciához való közelítéshez, némi iránymutatást is nyújt a fejlesztőknek arra vonatkozóan, hogy az adatvédelmi szabályozók miként léphetnek fel az olyan sarkalatos kérdésekben, mint a jogszerűség. A fő üzenet azonban az, hogy nem lesz egy egységes megoldás az előttük álló jogi bizonytalanságra. Például a modell anonimitásának kérdését illetően - amelyet a Testület úgy határoz meg, hogy a mesterséges intelligenciamodellnek „nagy valószínűséggel” nem szabad „közvetlenül vagy közvetve azonosítania azokat a személyeket, akiknek adatait a modell létrehozásához felhasználták”, és nagy valószínűséggel nem szabad lehetővé tennie a felhasználók számára, hogy ilyen adatokat nyerjenek ki a modellből azonnali lekérdezéssel. A vélemény hangsúlyozza, hogy ezt „eseti alapon” kell értékelni.
A dokumentum a Testület által „nem előíró és nem kimerítő listát” tartalmaz azokról a módszerekről, amelyekkel a modellfejlesztők bizonyíthatják az anonimitást, például a képzési adatok forrásainak kiválasztása révén, amely lépéseket tartalmaz a személyes adatok gyűjtésének elkerülésére vagy korlátozására (többek között a „nem megfelelő” források kizárásával); adatminimalizálással és szűrési lépésekkel az adatelőkészítési szakaszban, a képzést megelőzően; olyan robusztus „módszertani döntések” meghozatalát, amelyek „jelentősen csökkenthetik vagy kiküszöbölhetik” az azonosíthatóság kockázatát, például a modell általánosításának javítását és a túlillesztés csökkentését célzó „regularizációs módszerek” kiválasztását, valamint olyan adatvédelmi technikák alkalmazását, mint például a differenciált adatvédelem; valamint a modellhez hozzáadott bármely olyan intézkedést, amely csökkentheti annak kockázatát, hogy egy felhasználó lekérdezések útján személyes adatokhoz jusson a képzési adatokból.
Ez azt jelzi, hogy a mesterséges intelligencia fejlesztőinek számos tervezési és fejlesztési döntése befolyásolhatja annak szabályozási értékelését, hogy a GDPR milyen mértékben vonatkozik az adott modellre. Csak a valóban anonim adatok esnek ki a rendelet hatálya alól, ahol nem áll fenn az újbóli azonosítás kockázata - de a mesterséges intelligenciamodellekkel összefüggésben az egyének vagy adataik azonosításának kockázata „nagyon valószínűtlen”. Az EDPB véleményét megelőzően az adatvédelmi hatóságok között volt némi vita a mesterséges intelligenciamodellek anonimitásáról - többek között azt sugallták, hogy a modellek önmagukban soha nem lehetnek személyes adatok -, de a Testület egyértelművé tette, hogy a mesterséges intelligenciamodellek anonimitása nem magától értetődő, eseti értékelésre van szükség.
A vélemény azt is megvizsgálta, hogy a mesterséges intelligencia fejlesztése és alkalmazása során alkalmazható-e jogos érdek jogalap. Ez azért fontos, mert a GDPR-ban csak néhány jogalap áll rendelkezésre, és a legtöbb nem megfelelő a mesterséges intelligencia számára - amint azt az OpenAI már felfedezte az olasz adatvédelmi hatóság végrehajtásán keresztül. A modelleket építő MI-fejlesztők számára valószínűleg a jogos érdek lesz a választott jogalap, mivel ehhez nem kell minden olyan személy hozzájárulását beszerezni, akinek adatait a technológia létrehozásához feldolgozzák. (És tekintettel az LLM-ek képzéséhez használt adatmennyiségre, egyértelmű, hogy a hozzájáruláson alapuló jogalap nem lenne üzletileg vonzó vagy skálázható.)
A Testület véleménye szerint az adatvédelmi hatóságoknak értékelést kell végezniük annak megállapítására, hogy a jogos érdek megfelelő jogalap-e a személyes adatoknak a mesterséges intelligenciamodellek fejlesztése és alkalmazása céljából történő feldolgozására - utalva a szokásos háromlépcsős tesztre, amely megköveteli, hogy a felügyelők mérlegeljék az adatkezelés célját és szükségességét (azaz, hogy jogszerű és konkrét-e; és volt-e alternatív, kevésbé beavatkozó mód a kívánt eredmény elérésére), valamint mérlegelési tesztet végezzenek, hogy megvizsgálják az adatkezelésnek az egyéni jogokra gyakorolt hatását.
Az EDPB véleménye nyitva hagyja a lehetőséget arra, hogy a mesterséges intelligenciamodellek megfeleljenek a jogos érdek jogalapra való hivatkozás valamennyi kritériumának, és azt sugallja, hogy például egy mesterséges intelligenciamodell kifejlesztése egy, a felhasználókat segítő beszélgetőügynök-szolgáltatás működtetésére, vagy egy információs rendszerben a fenyegetések jobb észlelése megfelelne az első tesztnek (jogszerű cél). A második teszt (szükségesség) értékelésénél azt kell vizsgálni, hogy az adatkezelés valóban eléri-e a jogszerű célt, és hogy nincs-e kevésbé beavatkozó módszer a cél elérésére - különös figyelmet fordítva arra, hogy a feldolgozott személyes adatok mennyisége arányos-e a céllal, szem előtt tartva a GDPR adatminimalizálási elvét.
A harmadik teszt (az egyéni jogok mérlegelése) során „figyelembe kell venni az egyes esetek sajátos körülményeit” - olvasható a véleményben. Különös figyelmet kellett fordítani az egyének alapvető jogait érintő, a fejlesztés és a bevezetés során esetlegesen felmerülő kockázatokra. A mérlegelési teszt egy része azt is megköveteli a szabályozó hatóságoktól, hogy vegyék figyelembe az érintettek „ésszerű elvárásait”, vagyis azt, hogy azok az egyének, akiknek az adatait mesterséges intelligencia céljára feldolgozták, számíthattak-e arra, hogy az adataikat ilyen módon használják fel. A releváns szempontok között szerepel, hogy az adatok nyilvánosan hozzáférhetőek voltak-e, az adatok forrása és gyűjtésének kontextusa, az egyén és az adatfeldolgozó közötti bármilyen kapcsolat, valamint a modell lehetséges további felhasználása.
Azokban az esetekben, amikor a mérlegelési teszt sikertelen, mivel az egyének érdekei meghaladják az adatfeldolgozók érdekeit, a Testület szerint az adatkezelésnek az egyénekre gyakorolt hatását korlátozó enyhítő intézkedéseket lehet mérlegelni, amelyeket az „eset körülményeihez” és „a mesterséges intelligenciamodell jellemzőihez”, például a tervezett felhasználáshoz kell igazítani.
A véleményben említett enyhítő intézkedésekre példaként említ technikai intézkedéseket (például a modell anonimitásáról szóló szakaszban felsoroltakat); az álnevesítési intézkedéseket (például olyan ellenőrzést, amely megakadályozza a személyes adatok egyéni azonosítókon alapuló bármilyen kombinációját); a személyes adatok elfedésére vagy hamis személyes adatokkal való helyettesítésére irányuló intézkedést a képzési készletben; olyan intézkedést, amelynek célja, hogy az egyének gyakorolhassák jogaikat (például a lemondás lehetőségét); és átláthatósági intézkedéseket. A vélemény kitér a webes adatgyűjtéssel kapcsolatos kockázatok csökkentésére irányuló intézkedésekre is, amely a Testület szerint „különleges kockázatokat” vet fel.
A vélemény kitér arra a kényes kérdésre is, hogy a szabályozóknak hogyan kell megközelíteniük azokat az MI-modelleket, amelyeket nem jogszerűen feldolgozott adatokon képeztek ki, ahogyan azt a GDPR megköveteli. A Testület azt javasolja, hogy a szabályozók vegyék figyelembe „az egyes esetek körülményeit” - így a válasz arra, hogy az uniós adatvédelmi felügyelők hogyan fognak reagálni azokra az MI-fejlesztőkre, akik ebbe a törvénysértő kategóriába tartoznak: attól függ. Úgy tűnik azonban, hogy a vélemény egyfajta kibúvási záradékot kínál az olyan mesterséges intelligencia-modellek számára, amelyeket esetleg ingatag (jogi) alapokra építettek, mondjuk azért, mert adatokat kaparintottak meg bárhonnan, ahonnan csak tudtak, a következményekre való tekintet nélkül, ha lépéseket tesznek annak biztosítására, hogy a személyes adatokat anonimizálják, mielőtt a modell telepítési fázisba kerül.
Ilyen esetekben - amennyiben a fejlesztő bizonyítani tudja, hogy a modell későbbi üzemeltetése nem jár személyes adatok feldolgozásával - a Testület szerint a GDPR nem lenne alkalmazandó. "Ennélfogva a kezdeti adatkezelés jogellenessége nem befolyásolhatja a modell későbbi működését” - írják. Mindazonáltal kizárólag a végállapotra (anonimizálásra) összpontosítva az EDPB akaratlanul vagy potenciálisan legitimálhatja a webes adatok megfelelő jogalapok nélküli letöltését, ami potenciálisan aláássa a GDPR azon alapelvét, hogy a személyes adatokat minden szakaszban, a gyűjtéstől a megsemmisítésig jogszerűen kell feldolgozni.