ВДЪХНОВЕНИЕ

8-слойната правна рамка за  данни /8-слойният стек

 Обхват. Тъй като изкуственият интелект (ИИ), машинното обучение и големите данни стават повсеместни, получаването на уникална конкурентна информация от данните се превръща в незаменима стратегическа цел на големи и малки организации. Организациите все повече разглеждат своите информационни масиви, осъзнавайки, че данните имат стойност като бизнес актив, но също така носят риск и потенциална отговорност (например за пробив в сигурността  на данните). За да увеличат максимално стойността и да сведат до минимум риска, организациите се стремят да: • установят общи процеси, които се прилагат към техните информационни активи през целия им жизнен цикъл; • защитят подходящо информационните активи и да се справят с всяка злоупотреба; и • да позволят повишаване на ефективността от структуриран, управляван, последователен, стандартизиран и повтаряем подход, който може да се приложи към всички дейности, операции и услуги на организацията, свързани с данните. Бялата книга предоставя практическо ръководство, което да помогне на организациите да разработят структуриран подход за управление и управляване на своите операции с данни по законосъобразен начин. 

Разлика между управление и управляване на данните. Управлението на данни и управляването   на данни са различни понятия. По същество управлението определя стандартите на високо ниво и гарантира, че тези стандарти се спазват ежедневно. По аналогия с изграждането на къща, управлението са плановете на архитекта, а управляването е процесът на изграждане. Управлението на данните определя стандарти, политики, рамки и насоки за достъп, използване и съответствие на данни, с цел гарантиране, че данните са сигурни, точни и се използват отговорно. Заинтересованите страни в управлението са привлечени от всички съответни части на организацията, като се фокусират върху „какво“ и „защо“. Управляването на данните се отнася до „как“ и гарантира, че данните са подходящи за нуждите на организацията в съответствие с приложимото управление: че са налични, използваеми и надеждни, с подходящи процеси и инструменти.

Управлението на данните се развива бързо. Управлението на данните не възниква във вакуум. Големите организации обикновено вече имат внедрено управление за всички или част от своите дейности, свързани с данните, и изисквания за съответствие, включително: • защита на данните и поверителност (например записи на дейности по обработка, оценки на въздействието и защита на данните по проект и по подразбиране, както се изисква от GDPR); • информационна сигурност; • цифрова оперативна устойчивост; • критична инфраструктура; • съответствие с регулаторните изисквания за данните, специфични за сектора; и • управляване на информационната архитектура и най-добри практики, и етични рамки за изкуствен интелект и науката за данни.

 Структуриран подход към управлението и управляването на данните. Един от начините за разработване на структуриран подход към управлението и управляването на данните в рамките на една организация е: • да се разгледа правната рамка, която се прилага за данните; • да се използва това като основа за разработване на структуриран подход към управляването на проекти и операции, свързани с данни, въз основа на четири стъпки: Стъпка 1: оценка на риска; Стъпка 2:  стратегията; Стъпка 3:  политиката; и Стъпка 4: Процеси и процедури.

ПРАВНА РАМКА – 8-СЛОЙНИЯТ  СТЕК/картинката по-горе

 Обмислете правната рамка. Първата стъпка при разработването на структуриран подход за управление и регулиране на операциите с данни на организацията е да се определи солидна правна рамка за разбиране на правата и задълженията, които могат да възникнат във връзка с тези данни. Тези права и задължения произтичат от права върху интелектуална собственост (ИС), договори и регулации. Тази правна рамка представя сложна картина и поражда различни предизвикателства. Разликите между видовете права в една държава, разликите между подобни права в различните държави, как различните права действат едновременно в стека, многопластовият характер на правата в жизнения цикъл на данните и скоростта на процесите, които създават оценяваните данни, допринасят за правната сложност на картината на правата върху данните и правните предизвикателства на проектите за данни.

МЕХАНИЗЪМ НА ДАННИТЕ – ВХОД, ОБРАБОТКА И ИЗХОД

 Наслагване на механизма на данни. В следващата фаза, механизмът на данни на организацията може да бъде наслагван върху правната рамка. Механизмът на данни на организацията включва операции за въвеждане на данни, операции за обработка на данни и операции за извеждане на данни, 

Операции по въвеждане на данни. Особено с възхода на генеративния изкуствен интелект, данните постъпват в системата за данни на организацията от все по-голямо разнообразие от източници. Данните могат да бъдат структурирани – например данни от борсовия пазар, структурирани съобщения или закупена (лицензирана) маркетингова база данни; могат да бъдат поверителни или публично достъпни; могат да бъдат лични данни или нелични данни; и могат да бъдат едно или повече от тези неща едновременно. Все по-често обаче те се състоят от неструктурирани данни като данни за местоположение и други данни от мобилни устройства и данни от домашни сензори, носими устройства и други IoT устройства и сензори. Приблизително 80% от данните на организацията се оценяват понастоящем като неструктурирани.

Цялостен поглед . Разбира се, тази картина, концептуализираща системата за данни, е прекалено опростена: въвеждането на данни започва да бъде, но рядко е напълно координирано на ниво цяло предприятие: операциите по обработка вероятно ще се извършват както на настолния компютър, така и в центъра за данни (локален или в облака); а отделите може да имат свои собствени системни и ИТ изисквания. Начините, по които една организация може да набавя и използва данни, също се увеличават: те могат да набавят данни като услуга („DaaS“) и изкуствен интелект като услуга („AIaaS“) от облака, вместо да правят самата инвестиция, или могат да извършват някои от тези дейности вътрешно, а други външно.

Операции по обработка на данни. Въпреки че обемите на данните и възможностите за тяхното съхранение и обработка нарастват експоненциално, все пак остава разлика между количеството данни, които организациите могат да натрупат, и способността им да използват тези данни по полезен начин. Разликата се стеснява с миграцията от локална към облачна обработка и с това, че наборите от данни, базирани на изкуствен интелект, и техниките за прогнозиране и моделиране настигат традиционния софтуер за ретроспективно отчитане. Днес изкуственият интелект постепенно помага на организациите да разкрият „неизречената тайна на данните“ – малки ефекти с големи, агрегирани последици.

Операции по извеждане на данни. Резултатите от обработката след това трябва да отидат до местата вътрешно в организацията (отделите и функциите, където са ценни) и външно (маркетингови и дистрибуторски партньори и все по-често регулаторни органи), където ще бъдат използвани. Употребата зависи от индустриалния сектор на съответната компания. В застраховането например, телематиката на превозните средства и услугите, базирани на местоположение, могат да информират застрахователя за общите умения и грижа на водача и къде е бил той или тя, когато е станало произшествието. Тези данни могат да бъдат използвани от застрахователите за оценка на риска и разходите за премии, от оценителите на щети за оценка на вината, от финансовия отдел за разпределяне на капитал въз основа на риска и следователно профила на изплащане, от екипа по съответствие за докладване пред регулатора и от разработването на продукти за предлагане на нови продукти и за маркетингови цели. Именно тук лицензирането и защитата на данните, както и други регулаторни последици от използването на данни за цел, различна от тази, за която първоначално са получени, стават особено важни. 

 4-СТЪПКОВ ПОДХОД КЪМ УПРАВЛЕНИЕТО НА ДАННИТЕ

Управление на проекти за данни. Третият подход към данните – балансиране на ефективното и законосъобразно използване на информационните активи на организацията – се наслагва върху първите два, общата правна рамка за данните и механизма за данни .Тук целта е структуриран подход към управлението на проекти за данни с цел постигане на законосъобразно използване на данни в цялата организация по технически подобрен и практичен начин, който позволява на бизнеса да извлече максимална полза от своите информационни активи. 

Четиристъпков подход към управлението на данните. Възходът на генеративния изкуствен интелект и машинното обучение  подхранва „демократизацията“ на ползите от използването на данни, като оперативните отдели извън групата на CIO търсят да използват новите възможности и функции. Подходът „отгоре надолу“ към управлението на данните може да доведе до липса на отзивчивост и гъвкавост, докато подходът „отдолу нагоре“, воден от оперативната употреба, може да бъде фрагментиран и да не адресира достатъчно правния, регулаторния и бизнес риска по начин, който е съвместим с доброто управление. Практическото, поетапно управление може да бъде вградено в структуриран подход към проектите за управление на данни, основан на четири стъпки: • Стъпка 1: оценка на риска; • Стъпка 2:  стратегия; • Стъпка 3:  политика; и • Стъпка 4: процес и процедури. 

Стъпка 1: оценка на риска. Първата стъпка или работен поток в проект за управление на данни е оценката на риска по отношение на това как организацията използва данните си в момента, извършвана по обичайния начин: преглед > оценка > докладване > отстраняване. Прегледът ще се фокусира по-специално върху източника на данните, условията, при които се предоставят, и как се използват. Следващият етап ще оцени дали използването е в съответствие с договорните и лицензионните условия и т.н. и дали са получени всички необходими съгласия за въпросните случаи на употреба (включително когато данните са лични данни). Прегледът и оценката ще бъдат част от доклад до висшето ръководство. Прегледът обикновено ще включва и препоръки чрез план за отстраняване, за да се отстранят всички области на несъответствие, които може да са били идентифицирани при оценката, а също и които са насочени към бъдещето на стратегическите и политическите аспекти на управлението на данните.

Стъпка 2: стратегическо изложение. Стратегическото изложение е формулиране на обосновката, целите и управлението на организацията по отношение на данните, изготвено от приобщаваща работна група или целева група, състояща се от висше ръководство, правния екип, екипа на CIO и всички други заинтересовани страни. Идентифицирането и включването на всички заинтересовани страни, както и формулирането на основната цел на всяка от тях по отношение на данните и как тази цел ще бъде постигната, ще бъде от решаващо значение за успешното управление и управление на данните. Стратегическото изложение за големите данни ще трябва да е в съответствие с корпоративните цели на високо ниво и с други стратегически изложения в областите на: • защита на данните и поверителност; • използване на етични рамки и предпазни мерки за ИИ и ИИ/МО; • информационна сигурност; • специфично за сектора регулиране на данните; • информационна архитектура и методологии за данни; • най-добри практики в областта на науката за данните; и • управление на интелектуалната собственост. Следователно организациите ще могат да надграждат върху вече свършената работа в тези области, за да избегнат преоткриването на топлата вода. Ролята на групата на CIO (грижеща се за стратегията за ИТ обществени поръчки, информационната архитектура и активи на организацията и моделирането на данни) и групата на главния юрисконсулт (грижеща се за активите на интелектуалната собственост на организацията, договорите и съответствието с регулаторните изисквания) при формулирането на стратегията на организацията ще бъде ключова.

Стъпка 3: политиката. Надграждайки и прилагайки декларацията за стратегията на ниво управление, декларацията за политиката е следващото ниво надолу и се фокусира върху контекста на хората, вътрешната структура, детайлите на управлението и управлението, подхода към споделянето на данни и разработването на процеси за планиране на проекти за многократна употреба. Работната група или целевата група ще отговаря за третия работен поток или стъпка от подготовката на декларацията за политиката за данните. Като част от фокуса си върху „контекста на хората“ на управлението на данните, декларацията за политиката „Управление и управление на данните“ (Kemp IT Law, v4, август 2025 г.)9 обикновено ще уреди детайлите на институционалната рамка – например, ръководна група, работна група или целева група, дали ще има служител по съответствие на данните (който може да бъде и настоящият отдел за съответствие със защитата на данните например). Декларацията за политиката ще наложи и процес на планиране на проекти за отделни проекти за данни, включително определяне на: • обхват и зависимости; • необходими ресурси; • резултати; • срокове (за да се гарантира, че проектите ще бъдат завършени в рамките на бюджета, навреме и съгласно стандартите); • нива на правомощия; и процеси на одобрение. Работната група/работната група и декларацията за политиката са мястото, където се събират правните съображения относно използването на данни в съответствие с нормативните изисквания в цялата организация и техническите съображения относно информационната архитектура на организацията. Централно място в тази работа заема цялостният подход на организацията към управлението, управлението и категоризирането на данните.

Подход, базиран на стандарти към управлението на данни: ISO/IEC 38505-1. Организациите все по-често разглеждат своите информационни масиви, осъзнавайки, че данните имат стойност като бизнес актив, но също така носят риск и потенциална отговорност (например за нарушаване на сигурността на данните).

Подход, базиран на стандарти, към управлението и категоризацията на данни: ISO/IEC 19944. ISO 38505-1 посочва, че управлението на данните не трябва да се бърка с областта на управлението на данни, която има „много добре дефинирани методи за обработка на данни, както и механизми за осигуряване на поверителността, целостта и наличността на тези данни“ (ISO 38505-1, стр. 7). ISO/IEC 199444 разглежда подробностите и предоставя в контекста на управлението на данни, свързани с облака и личните данни, стандартизиран, структуриран и повтаряем подход, базиран на идентифициране на подходящи случаи на употреба, управленски практики и обща таксономия.

 Стъпка 4: процеси и процедури. Декларацията за политиката ще се задълбочи до нивото на четвъртата стъпка или работен поток, подробните процеси и процедури, които ще се използват при управлението на данните на организацията. Те вероятно ще бъдат съобразени с оценките на въздействието на GDPR (ОВЗД, легитимни интереси, оценки на съвместимостта и информационната сигурност), ще работят по анонимизация, псевдонимизация и хеширане, принципи на изкуствения интелект и етични рамки. Все по-вероятно е те да бъдат изградени върху технически стандарти като ISO/IEC 38505-1, 29100 и 19944 и да включват доверителни отношения за данни и рамки за доверителни отношения за данни. Процесите и процедурите ще бъдат обвързани и с политиките за човешки ресурси на организацията и ще осигуряват обучение за повишаване на осведомеността.

ДОВЕРИЕ В ДАННИТЕ И РАМКИ ЗА ДАННИ: ОСИГУРЯВАНЕ НА СЪОТВЕТСТВИЕ НА СПОДЕЛЯНЕТО НА ДАННИ

 Доверието в данните и рамките за данни (DTF) набират популярност като иновативен начин за улесняване на надеждно и регулаторно съответстващо споделяне на данни. Въпреки че организациите имат различни идеи за това какво биха могли да правят доверието в данните, те въпреки това са ентусиазирани и нетърпеливи да намерят начини за споделя не на данни, като същевременно запазват доверието и все пак извличат ползи за себе си и другите.

 Към определение за доверие в данните. В своето изследване на това какво се разбира под „доверие в данните“, ODI взе решение в полза на „правна структура, която осигурява независимо управление на данните“. В допълнение към съответствието с принципите на ODI за добра инфраструктура на данните, ODI определи шест характеристики, които трябва да притежава доверието в данните.

Как изглежда рамката за доверие в данните („DTF“)? Нарастващата гледна точка е DTF да се разглежда като правна рамка, заедно с набор от общи оперативни правила, технически спецификации и интерфейси (API), договорени от и прилагани за специфичните цели на DTF. Те могат да възникнат вътрешно в рамките на субекта (например между субекта и неговите попечители или директори) и между субекта и трети страни (относно капацитета, договорите, правата, задълженията и отговорностите и др.). Справедливите средства за защита при нарушение на фидуциарно задължение включват анулиране (отмяна), отчитане на печалбите и други справедливи обезщетения, както и средства за защита по собственост (конструктивни тръстове, проследяване и възстановяване на незаконно придобити приходи). Заедно, правните и оперативните правила, спецификациите и интерфейсите позволяват и управляват всички дейности по „жизнения цикъл“ на съответните данни (придобиване, поток, съхранение, използване, споделяне, потребление и изтриване) в рамките на екосистемата. DTF се основава на стандартизиран подход към категоризацията на данни, управлението на данни и управляването на данните.

Доверие на данни на законодателна основа. За да се възползват от предимствата на иновациите, основани на данни, ЕС предприема стъпки за улесняване на споделянето на данни в различни индустрии. В ЕС Европейската комисия насърчава развитието на общи европейски пространства за данни. Законодателната програма на ЕС в тази област е напреднала, като целта ѝ е да се разработят редица общи европейски пространства за данни в стратегически сектори, включително здравеопазване, финанси, селско стопанство, енергетика, мобилност, научни изследвания и иновации. Тези пространства за данни са предназначени да направят данните, свързани със сектора (като финансови данни), достъпни, оперативно съвместими и многократно използваеми (принципи на FAIR за данните). Това се постига чрез предлагане на различни специфични за сектора разпоредби.

Закон на ЕС за данните. Ключовото законодателство на ЕС в тази област включва Регламент (ЕС) 2023/2854, Законът на ЕС за данните, който въвежда някои общи правила на договорното право във връзка с определени споразумения за споделяне на данни, за да се предотвратят договорни дисбаланси. Съществуват два набора от ключови ограничения.

• Първият набор от ограничения е от значение в случаите, когато се прилагат задължения за споделяне на данни, независимо от естеството на тези задължения и дали са наложени от Закона на ЕС за данните или от друго законодателство на ЕС или национално законодателство. Тук Глава III от Закона за данните определя, че споразумението за споделяне на данни между притежателя на данните и получателя на данните (т.е. трета страна, която получава данни по искане на потребителя) не трябва да бъде несправедливо и (в B2B ситуация) данните трябва да бъдат предоставени при справедливи, разумни и недискриминационни (FRAND) условия и, освен по искане на потребителя, неизключително. Дори в B2B отношенията тези споразумения могат да предвиждат само разумно и недискриминационно обезщетение, което отчита критериите по Глава III. Тези общи правила за достъп не се прилагат за задълженията за предоставяне на данни съгласно GDPR и доброволното споделяне на данни остава незасегнато.
• Вторият набор от ограничения се отнася до неравноправни клаузи и се прилага, когато определени договорни условия, свързани с данни, са били едностранно наложени от едната страна. Тези споразумения за споделяне на данни могат да бъдат доброволни или да произтичат от правно задължение за предоставяне на данни. В тези ситуации Законът на ЕС за данните съдържа черен списък с клаузи, които винаги са неравноправни, сив списък с клаузи, за които се предполага, че са неравноправни, и обща клауза за неравноправни условия. Неравноправна договорна клауза относно достъпа до данни и управлението на данни или свързаните с нея правила относно отговорността, средствата за защита при нарушение или прекратяване, които едно предприятие е наложило едностранно на друго предприятие, не са обвързващи за другото предприятие. Освен това самият Закон на ЕС за данните създава рамка за споделяне на данни, която позволява на потребителите на свързани продукти (и свързани услуги) да имат достъп до своите данни и да поискат данните им да бъдат споделяни с получателите на данни. Законът определя и условията за това кога от притежател на данни може да се изисква да предостави данни на национален орган от публичния сектор на ЕС, Комисията, Европейската централна банка и орган на ЕС.

Законът на ЕС за данните има екстериториално действие, което означава, че може да се прилага за организации извън ЕС при определени обстоятелства.