Отговорите на изкуственият интелект

GDPR – ОТГОВОРИТЕ НА ИЗКУСТВЕНИЯ ИНТЕЛЕКТ:

ЛИЧНИ ДАННИ, ЕВРОПЕЙСКИ ПРАВНИ РЕГУЛАЦИИ

И ИЗКУСТВЕН ИНТЕЛЕКТ 

Александър Аврамов1 & Александър Гъркинин2

Национална зона за киберсигурност &  Ем Пи Ей Иновейшънс1

Фирма  Еволинк АД2.

 

е-мейл: contact@gdprtest.bg1, е-мейл: agarkinin@evolink.com2

 

Резюме

В отговор на новите промени, които се дължат на бързия технологичен прогрес, както и на новите дигитални канали и среда за бизнеса в съвременното информационно общество, на 14 април 2016 г. Европейският парламент прие нов Регламент, наречен Общ регламент относно защитата на данните ЕС 2016/679 (на англ.  ез. General Data Protection Regulation – GDPR), който установява нови строги правила за защита на личните данни при събиране, съхранение и обработка. GDPR, който влиза в сила от 25 май 2018 г., е най-всеобхватната и прогресивна регулация в областта към момента и представлява мярка на Европа за адекватно посрещане на последиците от цифровата ера. Регулацията предвижда глоби в огромни за България размери до над 20 милиона евро, като всяка организация носи отговорност за нанесените материални и нематериални щети в резултат на нарушения. Регламентът се прилага и за организации или компании, които не са установени в ЕС, но предлагат стоки и услуги на граждани на ЕС или наблюдават тяхното поведение, и съответно налага нови задължения за страните в и извън Европейския съюз. Целта на настоящия доклад е да даде отговор на така наболелите въпроси – какво представляват личните данни и какво се е променило по отношение на тяхната правна регулация в периода 1995–2016 г.

Ключови думи: лични данни, изкуствен интелект, GDPRtest.

Александър Аврамов e ко-създател на GDPRТест.

                   Александър Гъркининeчаст от екипа, създал платформата GDPRTest.

Въведение в проблематиката

Според дефиницията, дадена в Общия регламент относно защитата на данните ЕС 2016/679 (на английски  език General Data Protection Regulation – по-нататък GDPR) на Европейския парламент и на Съвета на Европейския съюз, лични данни“ означава „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни)“. Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.  Ако съпоставим дефиницията, залегнала в Директива 95/46/ЕО на Европейския парламент и на Съвета на Европейския съюз, която представлява предишната европейска законова уредба, свързана със защитата на личните данни, приета през 1995 г., не може да не установим, че за периода от 21 години в дефиницията са залегнали само три нови промени, в това число:

  • „генетична идентичност“;
  • „данни за местонахождение“;
  • „онлайн идентификатор“.

Kои са нещата, които наложиха тази промяна,  и всъщност какво се промени през последните 20 години? Нека разгледаме и малко исторически факти в технологичен аспект. Интернет или Световната паяжина (World Wide Web – англ.) е представен на обществото от CERN през 1993 г. и само две години по-късно, от 1995 г., стартираха цели индустрии и се революционизираха старите. След 1995 г. пощата и пликовете постепенно се дигитализираха и писмата се превърнаха в имейли, а през 1998 г. мобилните телефони са все още рядкост и хората могат само да мечтаят за самоуправляващи се автомобили. Няколко години по-късно, след 2000 г., се появяват социалните мрежи, които дават нов смисъл на социалните групи и на  обществения живот на младите. През 2005 г. започна и една нова революция – тази на смартфоните, която свърза всички, по всяко време и от всяко място.

Така докато понятието „Интернет на нещата“  (Internet of things – англ.) тепърва прохожда, се оказва, че в същото време понятието „Internet of Humans“ явно съществува вече повече от 10 години, без да осъзнаваме добре това.

Генетичните данни се определят като: „лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които са получени в резултат на анализ на биологична проба от въпросното физическо лице, по-специално чрез хромозомен анализ, анализ на дезоксирибонуклеиновата киселина (ДНК) или на рибонуклеиновата киселина (РНК) или анализ на всеки друг елемент, позволяващ получаване на равностойна информация.“

Тази дефиниция не е цитат от известната научно-фантастична книга „Ген“ на Майкъл Крайтън, а от съображение 34 от GDPR.  В САЩ има приет „Закон за недискриминация по отношение на генетичната информация“ от 2008 г. (Genetic Information Nondiscrimination Act of 2008), тъй като генетичната информация може да бъде използвана и дискриминиращо. Примери за това са определен индивид да не бъде назначен на работа, тъй като гените му показват склонност към пристрастяване, към криминално или агресивно поведение, или пък да му бъде отказана здравна застраховка или банков кредит поради завишен риск от определени заболявания. Приемането на корекцията в дефиницията и включването на  „генетична идентичност“ се оказва задължително за Европа с навлизането на биотехнологиите в  нашето ежедневие.

Ето още едно забележително твърдение: „Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.“ Дали това не е цитат от някой от филмите на Стивън Спилбърг? Не, разбира се, това е съображение 30 от GDPR.

Нека си зададем и въпроса дали в днешно време с помощта на личните ни данни може да се разбере какво мислим, какво искаме и как ще реагираме. „С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в интернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене.“  Изглежда че отговорът е ДА, и вече имаме регулация съгласно съображение 24 от GDPR.

Ако дръзнем да отидем още по-нататък и да се запитаме дали можем да бъдем профилирани и заклеймени като добри или лоши от някоя машина, то ще научим бързо, че: „Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване… като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията…“ .

Дали текстовете по-горе не намекват, че обработката на личните данни може да се извършва от информационни системи, а жизненоважни решения за хората – да се вземат от най-обикновени машини ?  Изглежда че ДА и това е още едно съображение от GDPR.

В този ред на мисли и в унисон с конспиративните теории е логично и да се запитаме дали пък вече на държавно ниво не използват машини за взимане на решения за нас, за оценка на това какви хора сме и каква е вероятността да извършим престъпление. Регламентът не дава отговор, но по странен начин вече разрешава това в своето съображение 71:  „Въпреки това, вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, …и за гарантиране на сигурността и надеждността на услугите…“.

Независимо че прилича на цитат от филма „Специален доклад“ с Том Круз, в който с оглед на предотвратяване на престъпление се задържат предварително заподозрените престъпници, този начин на вземане на решения явно е факт и се допуска от GDPR.

Всичко това повдига много въпроси, свързани с личните данни и най вече с тяхната сигурност. По какъв начин Европа ще се справи в ерата на технологичните промени? Eто и един от възможните отговори: „…както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи,… екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС)… Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер и спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи.“

Горното е цитат от съображение 49, а не от филма „Матрицата“, и създава усещане, че се полагат основите за създаването на една нова интернет или виртуална полиция, а може би и на една виртуална армия…

Личните данни се превръщат в едно от най-ценните неща на света.

Защитата на личните данни и защитата на данните са две права, залегнали в Договорите на Европейския съюз и в Хартата на основните права на ЕС. Хартата съдържа изрично право на защита на личните данни (член 8) и в същото време Договорът за функционирането на Европейския съюз (ДФЕС) задължава ЕС да установи правила за защита на данните при обработката на лични данни. Европейският съюз е уникален с предвиждането на такова задължение в своята конституция.

Личните данни и европейските правни регулации

За да отговори на новите промени, които се дължат на бързия технологичен прогрес, както и на новите дигитални канали и среда за бизнеса в нашето съвремие, на 14 април 2016 г. Европейският парламент приема нов регламент, наречен Общ регламент относно защитата на данните (ЕС 2016/679), който налага нови правила в обработката на лични данни.

GDPR е най-всеобхватното и прогресивно законодателство в областта на защитата на данните в света, актуализирано по възможно най-адекватния към момента начин, за да се справи с последиците от цифровата ера. Регулацията се прилага и за организации или компании, които не са установени в ЕС, но които предлагат стоки и услуги на физически лица в ЕС или наблюдават тяхното поведение. Той създава нови права за хората в цифровата среда и няколко нови и подробни задължения за сътрудничество между страните в и извън Европейския съюз.

GDPR става напълно приложим в целия ЕС, включително в България, на 25 май 2018 г. България може да адаптира регламента, като може да приложи мерки, които само да засилят съществуващите вече изисквания.

Един от проблемите, пред които е изправена рамката, всъщност е ресурсът, необходим, за да се гарантира спазването на Регламента, тъй като според статистиката от началото на 2016 г. повече от четири пети (82%) от всички лица в ЕС-28 на възраст между 16 и 74 години използват Интернет, а повече от две трети (71%) от лицата в ЕС-28 влизат в Интернет ежедневно. Друг интересен факт е сравнението на данните за 2012 г., когато едва 36% от лицата на възраст от 16 до 74 години в ЕС-28 са използвали мобилно устройство за свързване с Интернет, докато през 2016 г. този дял е нараснал до 59%, което при средна интерполация би трябвало да доведе до цифри, близки до 100%, в рамките на следващите 5 години. Статистиката за бизнеса пък показва, че по-голямата част от предприятията (87 %) използват фиксирана широколентова връзка за достъп до Интернет.

Прозира и липсата на отговор на въпроса по какъв начин може да се гарантира, регулира и съответно контролира използването на лични данни практически навсякъде. Решението, приложено от ЕС, изглежда практически единственото. То се основава и на една от модерните напоследък в корпоративния свят тенденции за аутсорсинг или изнасяне на дейности към външни организации. Макар и това да може да прозвучи странно, в конкретния случай регламентът на практика изнася дейностите по осигуряване и гарантиране на сигурността на обработката на лични данни директно към предприятията и в същото време възлага контрола върху дейността им върху субектите на данни, като значително регулира правата им.  Дали това не един от най-големите примери за приложение на социален модел на управление? Правата, предоставени на субектите на данни, са следните:

  • Право на достъп (съгласно член 15) – субектът на данните има право на потвърждение за обработка и съответно достъп до своите лични данни;
  • Право на коригиране (съгласно член 16) – субектът на данните има право да коригира неточни или непълни лични данни;
  • Право на изтриване (съгласно член 17) – субектът на данните има право да поиска изтриване на лични данни, свързани с него;
  • Право на ограничаване на обработването (съгласно член 18) – субектът на данните има право да изиска ограничаване на обработването на личните му данни;
  • Задължение за уведомяване (съгласно член 19) – субектът на данните има право да изисква да бъде уведомен при всяко действие, свързано с коригиране, изтриване или ограничаване на обработването;
  • Право на възражение (съгласно член 21) – субектът на данните има право да възрази по всяко време срещу обработването на личните му данни:
    • За изпълнението на задача от обществен интерес или на база на официални правомощия, или за целите на легитимните интереси, включително профилиране;
    • Обработване за целите на директния маркетинг;
    • Обработване за целите на научни или исторически изследвания или за статистически цели.
  • Право на отказ от автоматизирана обработка (съгласно член 22) – субектът на данните има право да откаже да бъде обект на решение, основаващо се единствено само на автоматизирано обработване, включително профилиране, което поражда правни последствия за него или го касае значително;
  • Право на преносимост (съгласно член 20) – субектът на данните има право да получи личните данни или, което е още по-интересно, да получи пряко прехвърляне към друг администратор на лични данни. Това право е идентично с правото на преносимост на телефонните номера;
  • Право на жалба и ефективна съдебна защита (съгласно членове 77, 78 и 79) – субектите на данни имат право да подадат жалба до Комисията за защита на личните данни (КЗЛД) при нарушения на Регламент (ЕС) № 2016/679 от 27 април 2016 г. и право на ефективна защита срещу КЗЛД (забележете, срещу надзорния орган), администратор или обработващ на личните им данни;
  • Право на обезщетение (съгласно член 82) – субектите на данни имат право на обезщетение за материални или нематериални вреди, претърпени вследствие на нарушение на Регламент (ЕС) № 2016/679.

Ключови моменти в Общия регламент за защита на личните данни, влизащ в сила на 25.05.2018 г.

 

В Общия регламент за защита на личните данни, влизащ в сила на 25.05.2018 г., са включени редица нови моменти за задължените лица „администратор“ и „обработващ лични данни“, които са следните:

  1. За обработващите възниква пряко задължение и носят отговорност да спазват Регламента и да могат да докажат, че са осигурили достатъчно гаранции за въведени технически и организационни мерки за защита на обработваните лични данни. Всички договорни отношения между администратори и обработващи ще трябва да бъдат ревизирани и/или изготвяни в посока съответствие с тези изисквания.
  2. Разширен обхват – GDPR ще засегне и компании и организации, установени извън ЕС, които имат досег с лица от ЕС и техните лични данни – например, рекламират, предлагат и продават стоки и услуги на такива лица. В зависимост от вида данни, които обработват, са предвидени различни изисквания.
  3. Съгласие на субекта на лични данни? – По отношение на съгласието се въвежда много стриктно изискване във връзка с начина, по който е дадено. То трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие. Оттеглянето на съгласие трябва да бъде също толкова лесно, колкото и даването му.
  4. Правото „да бъдеш забравен“ (The right to be forgotten (англ.). Субектите имат право на достъп до данните си, право да искат поправка на неправилно отразени данни, право на възражение, когато са обект на директен маркетинг, право на възражение при автоматизирано вземане на решение и при профилиране (в тези случаи администраторите са длъжни да информират субектите за тези си дейности). Кодифицира се „правото да бъдеш забравен“. Това означава, че субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да извърши това без ненужно забавяне при наличието на ясно определени в регламента основания
  5. Защита на личните данни на етапа на проектиране и по подразбиране (Privacy by design and privacy by default (англ.). Това означава, че защитата на личните данни трябва да бъде част от бизнеса изобщо, а не просто формалност. GDPR изисква въвеждането на подходящи технически и организационни мерки както към момента на определянето на средствата за обработване, така и към момента на самото обработване. Да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването – т.е. обработката на лични данни да се сведе до минимум. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. Да е ясно по подразбиране, че без намеса от страна на субекта данните не са достъпни за неограничен брой физически лица.
  6. Организационни и технически мерки
  • Регламентът предвижда интегриране на политика за сигурност при обработката на личните данни от страна на организациите. В същото време се изисква оценка на риска за съответните типове лични данни и на тази база, отчитайки технологичното развитие, и прилагане на технически мерки, които биха гарантирали тяхната защита;
  • При обработката е необходимо да се гарантира постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  • Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
  • Процеси на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки;
  • Много съществено е вече изискването за поддържане на регистри от страна на администратора и обработващия личните данни и отпадането на задължителния режим по регистрация. Въвежда се и задължителен регистър за нарушенията и се предвижда срок за уведомяване при установено нарушение от 72 часа.
  1. Въвежда се фигурата на длъжностно лице по защита на личните данни (Data Protection officer – DPO (англ.).
  2. Значителни санкции – Рисковете от това да не предприемете своевременни мерки са огромни и могат да се окажат пагубни за вашия бизнес. Съгласно член 83, параграф 3 и параграф 4 от Регламента:

Предвижда се административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, а в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при  нарушения на следните разпоредби:

  • Принципи, свързани с обработването на лични данни;
  • Законосъобразност на обработването;
  • Условия за даване на съгласие;
  • Обработване на специални категории лични данни;
  • Правата на субектите на данни съгласно членове 12 -22 от регламента;
  • Предаването на лични данни на получател в трета държава или международна организация;
  • Всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX.

Предвижда се административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока, при  нарушения на следните разпоредби :

  • Условия, приложими за съгласието на дете във връзка с услугите на информационното общество;
  • Обработване, за което не се изисква идентифициране;
  • Защита на данните на етапа на проектиране и по подразбиране;
  • Съвместни администратори;
  • Представители на администратори и обработващи лични данни, които не са установени в Съюза;
  • Обработващ личните данни;
  • Обработване под ръководството на администратора или обработващия лични данни;
  • Регистри на дейностите по обработване;
  • Сътрудничество с надзорния орган;
  • Изискванията в Раздел 2 – Сигурност на личните данни;
  • Изискванията в Раздел 4 – Длъжностно лице по защита на данните.

В допълнение, съгласно регламента носите отговорност за материални и нематериални щети, причинени на физическите лица  в резултат от нарушения на регламента, за суми до над 20 000 000 евро за всяко едно от физическите лица.

Регламентът е създаден по-скоро по англосаксонската правна система (Common law (англ.). Това е правна система, базирана на общото право на прецедента. Това дава достатъчно възможности за тълкуване и съответно оставя достатъчно време за Европа да се създаде и натрупа съдебна практика. Един от най ярките примери са залегнали в базовите изискванията към предприятията, фирмите и организациите са осигуряване на подходящото ниво на сигурност на личните данни:   „Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени“. Цитатът от съображение 83 от Регламента очевидно допуска баланс между риск, сигурност и средства по усмотрение на администратора.

Аналогично  един от най-важните членове от регламента, член 30 „Сигурност на обработването“, гласи: „Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност….“.         

 

GDPR и ролята на изкуствения интелект

Предизвикателствата пред предприятията и организациите са огромни предвид сложността на регламента и необходимостта от високо ниво на експертни консултантски услуги в коренно различни области на знанието като право, информационни технологии, киберсигурност, съответствие и др. Въпросите са кои са най-добрите и прецизни технологични средства, които е необходимо да бъдат внедрени за постигане на максимален баланс между риск, сигурност и средства според регламента.

Кратките срокове за прилагането на регламента, предвидените огромни размери на санкциите и прехвърлянето на контрола в ръцете на обществото и физическите лица създават предпоставки за огромен натиск върху бизнеса. Липсата на кадри и експертиза, тъй като по последните данни, предоставени от Комисията за защита на личните данни (КЗЛД), за изпълнение на GDPR в България ще бъдат необходими поне 50 000 длъжностни лица по защита на личните данни, като в това число влизат само администраторите, които имат нормативно задължение да назначат такива лица, превръщат регламента в истински кошмар за бизнеса.

Ситуацията провокира и значително повишава търсенето на решения. Традиционно е използването на консултантски услуги, които на практика поради ценовия си диапазон и повишеното търсене стават недостъпни за малките и средни предприятия. Същевременно нерядко се наблюдава и значително занижено качество на тези услуги.

Традиционните стъпки, които една организация трябва да предприеме, за да постигне устойчиво съответствие с изискванията на GDPR, в най-общ план са следните:

  • Извършване на оценка на нивото на готовност за прилагането на GDPR;
  • Дизайн и оценка на възможните решения: юридически, бизнес, организационни или технологични;
  • Избор на ефективно за организацията решение на база цена и евентуални ползи;
  • Внедряване/разработка на възможни решения;
  • Поддръжка на устойчиво ниво на съответствие.

Първия етап – оценка на нивото на готовност за прилагането на GDPR – представлява съпоставяне на конкретните изисквания, залегнали в регламента, с организационните или технически мерки, прилагани от организациите към момента. Заключението, което би трябвало да се даде от всеки един тип или вид консултант, е дали дейността на организацията е в съответствие с всяко едно конкретно изискване на регламента.  Свеждането до конкретен дискретен отговор „Да“ или „Не“, съответно 0 или 1, предоставя възможности за имплементиране на математически модели за проверка на нивото на съответствие.

Изглежда че един от най-очевидните отговори е отново машина.  Действително, оказва се, че използването на изкуствен интелект за решаването на сложни задачи е значително по-ефективно от използването на човешки труд. Създаването на експертната интелигентна система GDPRтест дава възможност прилагането на регламента да не бъде сложна и скъпа процедура и да не отнема огромно време и ресурси на предприятията. Използването на изкуствен интелект позволява на организациите да приложат и да спазят изискванията на регулацията значително по-лесно, по-достъпно и по-бързо.

Изкуственият интелект може да даде не само тълкуване на отделните изисквания на регламента, но и да посочи конкретната глоба за неизпълнение на конкретно нарушение, като в пъти по-бързо и правилно отчита всички изисквания и взаимовръзки между съображения, разпоредби и дерогации, като съотнася мигновено постановеното в множеството членове и параграфи в рамките на нормативния акт .

В изкуствения интелект „експертна система“ се нарича компютърна система, която наподобява способността за вземане на решения от човек, експерт в дадена област. Експертните системи са предназначени за решаване на сложни проблеми, като правят изводи въз основа на зададена база знания, в случая регламента и тълкуванията му, а не следвайки последователност от процедури, написани от програмист, какъвто е случаят в конвенционалното програмиране. Първите експертни системи са били създадени през 70-те и след това се разпространили през 80-те години на ХХ век. Експертните системи са сред първите наистина успешни форми на софтуер, разработен на базата на изкуствения интелект.

Експертната система притежава уникална структура, различна от традиционното компютърно програмиране. Тя е разделена на две части: една фиксирана, независима от експертната система: интерпретатор (логическо устройство), и една променлива: базата от знания. За да се пусне в експлоатация експертна система, интерпретаторът разчита на началната база от знания, заложени от експерти в различните области, необходими за решаване на въпросите, възникващи от изискванията на регламента, например юридически познания, познания в информационна сигурност и познания в бизнес процеси. Изкуственият интелект предоставя и диалогов интерфейс за комуникация с потребителите.

Експертната информационна система (Expert System) трансформира опита на експертите в евристични правила в различните области на знанието, необходими за решаване на въпросите, възникващи в резултат от изискванията на регламента. Системата се използва в качеството на съветваща система или съветник, като предлага най-точните и всеобхватни решения, готови за практическо използване за по-бързото привеждане в съответствие с регламента. Интелигентната система предлага на потребителите решения, които значително превъзхождат възможностите на отделния индивид, т.е. той не може да стигне самостоятелно до тях. Предвид събраното концентрирано знание тези системи в пъти превъзхождат и възможностите на отделния консултант. В експертните системи организацията има възможност не само да получи информация във вид на становище доколко отговаря на изискванията, а и да ѝ се предоставят  препоръки за решение с детайлни обяснения и направления.

Използването на системата GDPRTECT, базирана на изкуствен интелект, съкращава времето за анализ на текущото ниво на готовност на организацията да приложи изискванията на регламента с до над 50 пъти в сравнение с използването на консултантски услуги. При стандартния подход се изисква и значително повече време, за да се прехвърли знанието, съществуващо и натрупано в организацията, към консултанта с оглед на правилната оценка. При това натоварването на вътрешнофирмените ресурси е до 40 пъти по-ниско, което съответно допълнително улеснява процеса. В резултат се постига и забележителен  икономически ефект за предприятията: цена в рамките на 20 – 30 пъти по-изгодна от предлаганите на пазара. 

Заключение 

Използването на изкуствен интелект GDPRTECT се очертава да бъде истинска пробивна технология ( за пазара при решаването на огромните проблеми, възникнали за предприятията с приемането на GDPR. Накъде след това? е въпросът, който възниква, след като бизнесът успее да дефинира нуждата от действия. Кои биха били стъпките за улесняване на процеса по внедряване на изискванията? Може ли машина отново да помогне и да създаде всичките необходими документи, свързани със съгласието на субектите на данни за обработка на личните им данни, били те стандартни или специални? Възможно ли е система да разработи регистрите на дейностите по обработка и документите, необходими за упражняване на правата на физическите лица, да подготви договорите и за капак, да състави политиките, които организацията е необходимо да следва? Може ли изкуственият интелект да провери дали системите на дадена организация отговарят на изискванията за сигурност на обработката и да ни каже как да ги настроим?. Задавайки всички тези важни и неотложни въпроси, ние в никакъв случай не попадаме в сферата на научната фантастика:  всички тези възможности вече са реализирани в платформата GDPRTest.

ИЗПОЛЗВАНА ЛИТЕРАТУРА

  1. Директива за защита на личните данни в полицейската и наказателната дейност (Директива (ЕС) 2016/680).
  2. Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации.
  3. Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (валидна до влизане в сила на Регламент (ЕС) 2016/679 – Общ регламент за защита на личните данни).
  4. Закон за защита на личните данни 
  5. В сила от 01.01.2002г./Обн. ДВ. бр.1 от 4 Януари 2002г., изм. ДВ. бр.7 от 19 Януари 2018г.
  6. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).
  1. Регламент 611/2013 на Европейската комисия относно мерките, приложими за съобщаването на нарушения на сигурността на личните данни съгласно Директива 2002/58/ за правото на неприкосновеност на личния живот и електронните комуникации.
  2. Харта на основните права на Европейския съюз 2010/C 83/02.

  

GDPR – THE ANSWER OF ARTIFICIAL INTELLIGENCEPERSONAL DATA, EUROPEAN LEGAL REGULATIONS AND ARTIFICIAL INTELLIGENCE 

Alexander Avramov1 & Alexander Garkinin2

National Cyber Security Zone &  MPA Innovations1

Evolink AD2.

 

e-mail: contact@gdprtest.bg1, e-mail: agarkinin@evolink.com2

 

Summary

In response to the everyday changes due to the fast technological progress, emerging data channels and business environment of todays information society the European Parliament adopted General Data Protection Regulation on 14th April 2016, also known as Regulation (EU) 2016/679. GDPR establishes new strict rules for protection in the case of collecting, storing and processing personal data. GDPR will enter into force on 25 May 2018 and is the most complete and progressive regulation in the field up to this moment, it represents an attempt for Europe to deal with the consequences of the digital era. Financial fines intended by the regulation can reach massive for Bulgaria amounts of above 20 million euro and every single organization bear the responsibility for any induced damage as a result of violations. The regulation also applies for Non-EU organizations and companies when offering their goods and services in the EU or observe their behavior and respectively enforces new obligations for the countries in and out of the European Union. The goal of this report is to shed light on what is personal data and what has changed considering its legal regulation during the period between 1995 – 2016.

 

Keywords: personal data, artificial intelligence, GDPRTest

Alexander Avramov co-founder of GDPRTest.

                   Alexander Garkinin team member of GDPRTest creators.

Версия на този материал е публикувана в сборник със заглавие: «Европейските граждани и интелектуалната собственост, възприятие, осъзнатост, поведение».