Kan legitim interesse bruges til webscraping til LLM-træning?

EDPB’s taskforce indikerer, at legitim interesse kan være mulig, hvis der indføres stærke garantier som målbegrænsning, oplysningspligt og effektive opt‑out‑mekanismer. Der er dog ikke truffet endelig afgørelse om hjemmelen.

Er DPF-certificering nok til at lovliggøre overførsel af personoplysninger?

Nej. DPF-certificering kan danne overførselsgrundlag, men den dataansvarlige skal stadig vurdere formål, nødvendighed, proportionalitet og implementere passende garantier samt opfylde øvrige GDPR-krav.

Hvordan håndteres unøjagtige AI-udsagn under GDPR?

Den registrerede har ret til berigtigelse efter GDPR art. 16. Dataansvarlige bør have dokumenterede processer for modtagelse, vurdering og opfyldelse af berigtigelser samt logning og opfølgning over for leverandører.

Schjødt

Privacy Corner

IT-ret EU-ret Persondata og cybersikkerhed

EDPB antyder, at legitim interesse kan bære webscraping til LLM’er under skrappe garantier, men uden endelig afklaring. Samtidig rejser NOYB sag mod OpenAI for unøjagtige udsagn. Få overblik over GDPR-krav ved Copilot/OpenAI, overførsler og kontraktansvar.

Eva Jarbekk

Jeppe Songe-Møller

Inge Kristian Brodersen

Kaare M. Risung
Øyvind Eidissen
Ane Rode
Oskar Engman
Paal-André Storesund

Virksomheder efterspørger klarhed om brug af Copilot og OpenAI: hvilket behandlingsgrundlag kan dække træning og drift, hvilke dokumentationskrav gælder, og om DPF‑certificering løser overførsler.

Behandlingsgrundlag for scraping og LLM-træning

EDPB’s taskforce har i en midlertidig rapport åbnet for, at legitim interesse kan anvendes til webscraping af tredjepartsdata, hvis strenge garantier implementeres. Samtidig er der ikke taget endelig stilling til korrekt hjemmel.

Praktisk kræver det dokumenteret interesseafvejning, målbegrænsning og robuste sletnings‑ og opt‑out‑mekanismer. Overførsler skal vurderes særskilt, uanset DPF‑certificering hos leverandøren.

Rettigheder, nøjagtighed og information til brugere

NOYB’s sag mod OpenAI om fejlbehæftede udsagn sætter fokus på GDPR’s berigtigelsesret og dokumenterede proces for håndtering af unøjagtigheder.

EDPB anerkender, at LLM’er kan hallucinere, og at brugere skal informeres klart om risici og begrænsninger. Kontrakter bør præcisere rollefordeling, ansvar for oplysningspligt, og krav til logning og korrigering.

Læs hele artiklen hos Schjødt →

Søgeord