09/02/2026
Европейският надзорен орган по защита на данните – European Data Protection Supervisor (EDPS) – публикува обновени насоки относно използването на генеративен AI, с фокус върху спазването на европейските правила за защита на личните данни.
Какво е „генеративен AI“ и защо поставя въпроси за личните данни❓
Генеративният изкуствен интелект обхваща системи, които могат самостоятелно да създават ново съдържание – текстове, изображения, видео или аудио – въз основа на анализ на големи обеми данни. Рискът възниква тогава, когато в тези процеси се обработват лични данни, често без хората да осъзнават това.
На практика подобни ситуации се срещат, когато в AI инструменти се въвеждат имена, имейли, клиентски казуси, при използване на автоматизирани системи за подбор на персонал или при чатботове, които „се обучават“ чрез реална комуникация с клиенти. Именно тук се пресичат технологичният напредък и защитата на основни права.
🏛️ Каква е ролята на EDPS?
EDPS е независим европейски орган, който следи дали институциите и органите на ЕС спазват правилата за защита на личните данни. С публикуваните насоки той не въвежда нови задължения, а разяснява как вече съществуващите правила следва да се прилагат в среда, в която генеративният AI се използва все по-масово.
➡️ Целта е използването на нови технологии да не води до „заобикаляне“ на основни права на хората.
Основни акценти от обновените насоки 📋
На първо място, EDPS подчертава, че личните данни остават защитени независимо от това дали се обработват от човек или от изкуствен интелект. Използването на изкуствен интелект не отменя задълженията по GDPR. Ако една система обработва лични данни, тя трябва да отговаря на всички основни принципи - законосъобразност, прозрачност, минимизация и използване само за конкретна, ясно определена цел.
Особен акцент се поставя върху ясното определяне на отговорностите. Организациите трябва да знаят кой е администратор на данните, кой е обработващ и кой носи отговорност при евентуално нарушение. Фактът, че се използва външен AI инструмент или платформа, не освобождава организацията от отговорност за начина, по който се обработват личните данни.
Насоките обръщат внимание и на необходимостта от наличие на валидно правно основание за обработването на лични данни чрез AI. Данни не могат да бъдат използвани за обучение или функциониране на AI система без конкретно основание – било то съгласие, законово задължение или легитимен интерес, който е внимателно преценен и документиран.
🧭 Оценката на риска и правата на хората
EDPS поставя особен акцент върху оценката на въздействието върху защитата на данните (DPIA), като подчертава, че при използване на генеративен AI, който може да засегне правата и свободите на хората, извършването на такава оценка е не само препоръчително, но в много случаи и задължително.
Важно е да се подчертае, че правата на физическите лица остават напълно приложими, дори когато обработката се извършва чрез AI. Хората имат право да знаят как и защо се използват данните им, да поискат достъп, корекция или изтриване, както и да възразят срещу определени видове обработка.
Какво означава това на практика?
Тези насоки са особено важни за:
🔸 компании, които използват AI в маркетинг, HR или обслужване на клиенти;
🔸 организации, които въвеждат автоматизирани процеси;
🔸 професионалисти, които работят с чувствителна информация.
Те ясно показват, че изкуственият интелект е инструмент, но отговорността за спазване на правата на хората остава изцяло човешка.
Генеративният изкуствен интелект носи значителни възможности, но и реални рискове за личните данни. С обновените си насоки EDPS ясно напомня, че технологичният напредък не може да бъде за сметка на основните права и свободи. За бизнеса и организациите това означава необходимост от осъзнат и добре структуриран подход при използването на AI – още на етапа на планиране и внедряване.
