Технологично право
Открихме 101 въпроса в тази правна област.
Разрешено ли е изцяло автоматизираното вземане на решения (профилиране), което поражда правни последици за лицето?
Изцяло автоматизираното вземане на решения, включително профилиране, което поражда неблагоприятни правни последици, по правило е забранено. То се допуска само ако е предвидено в закона и е гарантирана човешка намеса. Когато решението е взето от изкуствен интелект, законът ви гарантира абсолютно право на ясно обяснение.
Може ли работодателят да въвежда системи за контрол на достъпа с биометрични данни?
Работодателят може да въвежда системи за контрол на достъпа, включително такива, използващи биометрични данни (напр. пръстов отпечатък), но само при изключително строги условия. Той е длъжен предварително да приеме специфични вътрешни правила и да докаже, че използването на толкова чувствителни данни е абсолютно необходимо и пропорционално.
Трябва ли да съобщавам на потребителите, че общуват с чатбот (ИИ), а не с човек?
Да, законът ви задължава да информирате физическите лица, че си взаимодействат със система с изкуствен интелект (чатбот), а не с реален служител. Това трябва да бъде направено по ясен начин при първия контакт, освен ако от самите обстоятелства не е напълно очевидно, че отсреща е компютърна програма.
Трябва ли високорисковият изкуствен интелект задължително да подлежи на човешки контрол?
Да, високорисковите системи с ИИ трябва задължително да бъдат проектирани и разработени така, че да могат да бъдат ефективно наблюдавани и контролирани от физически лица. Целта е хората да могат да тълкуват резултатите, да пренебрегнат алгоритмично решение или да спрат системата безопасно при проблем.
До кого се подава уведомление при възникнал киберинцидент в компанията?
При възникване на киберинцидент, уведомленията се подават до Националния или съответните Секторни екипи за реагиране при инциденти с компютърната сигурност (НЕРИКС/СЕРИКС). В някои случаи информацията се насочва и към съответния национален компетентен орган или Националното единно звено за контакт.
Длъжна ли е администрацията да изисква от мен документи на хартия, ако данните ги има в електронен регистър?
Не. Законът изрично забранява на администрацията да изисква от вас да представяте или доказвате данни, които вече са събрани и налични в електронните регистри на държавата. Институциите are длъжни да ги изискат служебно помежду си.
Как държавата гарантира достъпността на сайтовете си за хора с увреждания?
Законът задължава всички държавни органи да осигурят достъпност на съдържанието на своите интернет страници и мобилни приложения за хора с увреждания. Те са длъжни да публикуват и редовно да актуализират специална "декларация за достъпност", която описва мерките и процедурите за подаване на сигнали при проблеми.
Длъжни ли са доставчиците на обществени услуги (ВиК, ЕРП, телекоми) да прилагат Закона за електронното управление?
Да, организациите, които предоставят обществени услуги, попадат под регулациите на Закона за електронното управление. Това включва предприятията във водоснабдителния (ВиК), електроснабдителния (ЕРП), топлоснабдителния, телекомуникационния и банковия сектор. Те се длъжни да предлагат електронно обслужване на клиентите си при спазване на общите държавни стандарти.
Какви са изискванията на ЗЗЛД при обработка на ЕГН в онлайн платформи?
Онлайн платформите са абсолютно задължени да въведат технически мерки, които не позволяват ЕГН да бъде единственото средство за идентификация на потребителя при отдалечен достъп. Освен това законът категорично забранява предоставянето на свободен публичен достъп до информация, съдържаща единен граждански номер (ЕГН).
Мога ли да получавам електронни съобщения за глоби и фишове чрез ССЕВ?
Да, чрез Системата за сигурно електронно връчване (ССЕВ) можете да получавате глоби и наказателни постановления. Законът позволява на гражданите изрично да дават или оттеглят съгласието си електронните фишове и актовете за административни нарушения да им бъдат връчвани напълно официално и валидно по електронен път в техния профил.
Има ли задължение за поддържане на електронните регистри в структуриран вид?
Да, държавната администрация е абсолютно задължена да води своите регистри изключително в електронна форма като "структурирани бази данни". Всеки запис в тях трябва да притежава уникален и непроменим във времето идентификатор, а системите трябва да поддържат програмни интерфейси (API) за автоматизиран обмен на информация.
Какви са функциите на Националния екип за реагиране при инциденти с компютърната сигурност (НЕРИКС)?
НЕРИКС е централният оперативен орган за киберсигурност в България. Той подпомага секторните екипи, анализира киберзаплахите, дава препоръчителни указания при възникване на киберинциденти, оказва експертна подкрепа при изграждане на защити и координира реакциите при трансгранични атаки.
Каква е глобата за фирма (важен или съществен субект), която не докладва киберинцидент?
Недокладването на значителен инцидент се счита за грубо нарушение на закона и води до налагане на административни глоби и имуществени санкции. Размерът им зависи от тежестта на инцидента, но за нарушения, извършени до 1 юни 2026 г., законът предвижда 50% намаление на стандартните санкции.
Какви са глобите при нарушаване на забраните за използване на изкуствен интелект според Регламента?
Нарушаването на абсолютните забрани за използване на ИИ (например за социално оценяване или манипулативни техники) води до драконовски финансови санкции. Глобата за такива тежки нарушения може да достигне до 35 000 000 евро или до 7% от общия годишен световен оборот на компанията, като се прилага по-високата сума.
Може ли ИИ да се използва за оценка на риска дадено лице да извърши престъпление въз основа на профилиране?
Не, използването на ИИ за оценка на риска дадено лице да извърши престъпление въз основа единствено на профилиране или личностни черти е абсолютно забранено в ЕС. Изключение се допуска само когато ИИ подпомага човешка оценка, базирана на вече установени обективни и проверими факти за престъпна дейност.
Може ли работодател да използва ИИ за разпознаване на емоциите на служителите си?
Не, това е напълно забранено по правило. Законът категорично криминализира използването на ИИ системи, които правят изводи за емоциите на хората на работното място или в образователните институции. Единственото изключение е, ако системата е внедрена по строго медицински съображения или за физическа безопасност.
Прилагат ли се правилата за ИИ, ако системата се използва изключително за военни цели или национална сигурност?
Не, Актът за изкуствения интелект не се прилага за системи, които са разработени и се използват изключително за военни цели, отбрана или национална сигурност. Това абсолютно изключение важи независимо дали разработването и използването се извършват от държавен военен орган или от частен подизпълнител.
Изисква ли се информиране на КЗЛД при назначаване на Длъжностно лице по защита на данните?
Да, информирането на контролния орган е напълно задължително. Всяка организация, която назначи Длъжностно лице по защита на данните (DPO), трябва да уведоми Комисията за защита на личните данни (КЗЛД) за неговите имена, идентификатор и координати за връзка, които се вписват в публичен регистър.
Трябва ли субектите да дадат информирано съгласие за участие в изпитване на ИИ в реални условия?
По правило да. Физическите лица, които участват в изпитване на високорисков ИИ в реални условия, трябва предварително да са дали своето информирано съгласие. Единственото изключение се допуска за правоохранителните органи, ако искането на съгласие би провалило разследването и тестването не вреди на лицето.
При какви изключения полицията има право да използва лицево разпознаване в реално време?
Полицията може да използва лицево разпознаване в реално време само при строго определени цели: издирване на изчезнали лица и жертви на отвличане, предотвратяване на терористично нападение или непосредствена заплаха за живота, както и локализиране на извършители на тежки престъпления. Изисква се задължително предварително съдебно разрешение.
Разрешава ли се изпитване на високорисков ИИ в "реални условия" извън регулаторните лаборатории?
Да, доставчиците имат право да изпитват високорискови системи с ИИ в реални условия преди пускането им на пазара, но само при изключително строги гаранции. Изпитването трябва да бъде предварително регистрирано, да следва изричен план и да не поражда неприемливи рискове за хората или обществото.
Длъжен ли е администраторът да изтрие личните данни, ако са събрани без законово основание?
Да. Ако личните данни са били събрани или предоставени без валидно правно основание (например без легитимно съгласие или законово задължение), администраторът е длъжен в срок от един месец от узнаването да ги върне на субекта, или ако това е невъзможно – да ги изтрие и унищожи, като документира процеса.
Какви са изискванията за качество на данните (обучителните масиви), с които се тренира високорисков ИИ?
Данните за обучение, валидиране и изпитване на високорисков ИИ трябва да бъдат подходящи, достатъчно представителни, възможно най-пълни и без грешки. Законът изисква строг контрол за алгоритмична предубеденост (bias) и съобразяване със спецификите на географската и поведенческата среда, в която ще работи.
Как се идентифицирам електронно пред общината или държавните органи?
Можете да се идентифицирате чрез средства по Закона за електронната идентификация, чрез средства по европейския Регламент (ЕС) № 910/2014, с квалифициран електронен подпис (КЕП) с ниво на осигуреност "високо" или други одобрени средства за идентификация, интегрирани със системата за автентикация.
Как мога да подам електронно заявление до държавната администрация?
Можете да подадете електронно заявление чрез специален потребителски интерфейс – най-често чрез вашия персонален профил в Системата за сигурно електронно връчване (ССЕВ) към Портала на електронното управление, чрез директни интерфейси за автоматизиран обмен на данни или чрез електронна поща.
Какво е "модел на ИИ с общо предназначение" (например ChatGPT)?
Модел на ИИ с общо предназначение (като големите генеративни езикови модели) е система, обучена върху огромни масиви от данни, която е способна гъвкаво да генерира текст, изображения или друго съдържание и да обслужва най-различни цели. Тези модели могат да се използват самостоятелно или да се интегрират в други ИИ системи.
Какво представлява "система с изкуствен интелект" според европейския Акт за ИИ?
Според Регламента, система с ИИ е машинно базирана система, проектирана да работи с различни нива на автономност. Тя може да прояви адаптивност и въз основа на входящи данни да генерира резултати (прогнози, съдържание, препоръки или решения), които оказват влияние върху физическата или виртуалната среда.
Какво представлява "високорискова система с изкуствен интелект"?
Високорискова система с ИИ е такава, която е защитен елемент на продукт (напр. медицинско изделие) или попада в специален списък на ЕС (напр. за образование, подбор на персонал, правосъдие), тъй като създава значителен риск за здравето, безопасността или основните права на гражданите.
Има ли специални изисквания за киберсигурност по веригата на доставки на ИКТ продукти?
Да, Законът за киберсигурност въвежда изрични изисквания за сигурността по веригата на доставки. Всяка регулирана компания е длъжна да контролира сигурността не само на собствените си системи, но и на ИКТ продуктите и услугите, предоставяни от нейните подизпълнители и преки снабдители.
Какво означава "комплексно административно обслужване" и как се реализира електронно?
Комплексното обслужване означава, че институциите си взаимодействат служебно, за да ви предоставят завършена услуга. Електронно това се реализира чрез автоматизиран онлайн обмен на данни и създаване на техническа история на трансакциите и начислените такси между различните публични информационни системи.
Има ли право работодателят да копира личната ми карта при сключване на трудов договор?
Не, в общия случай работодателят няма право да прави физическо или сканирано копие на личната ви карта. Законът изрично забранява копирането на документи за самоличност, освен ако за това не съществува абсолютно изрично законово задължение.
Длъжни ли са лицата, осъществяващи публични функции (нотариуси, ЧСИ), да спазват Закона за електронното управление?
Да, лицата, осъществяващи публични функции, като нотариусите и частните съдебни изпълнители (ЧСИ), са задължени да спазват Закона за електронното управление. Те действат като доставчици на електронни административни услуги в рамките на своята компетентност и трябва да осигуряват електронен обмен на документи.
Забранено ли е използването на ИИ за дистанционна биометрична идентификация на обществени места?
По правило да. Използването на ИИ за лицево разпознаване в реално време на обществени места за правоохранителни цели е забранено. Полицията обаче може да го използва при строги изключения: за издирване на изчезнали лица и жертви на трафик, за предотвратяване на тероризъм или локализиране на тежки престъпници.
Какви са максималните глоби при нарушение на правилата за защита на личните данни?
Законът за защита на личните данни препраща директно към европейския регламент GDPR за определяне на максималните глоби при сериозни нарушения. За специфични нарушения по националния закон, извършени от администратор или обработващ данни, е предвидена максимална глоба или имуществена санкция в размер до 5000 лева.
Задължително ли е да се маркират текстове или изображения, генерирани от изкуствен интелект?
Да, доставчиците на ИИ системи, които генерират текст, аудио, видео или изображения, са длъжни да вградят технически решения (като машинночетими водни знаци или метаданни), чрез които резултатите да бъдат разпознаваеми като изкуствено генерирани. Целта е да се предотврати разпространението на дезинформация и фалшиви новини.
Какво представлява "мащабен киберинцидент" и как държавата реагира на него?
"Мащабен киберинцидент" е срив или атака, чиито последици надхвърлят капацитета на държавата да реагира сама или засягат тежко поне две държави от ЕС. Държавата отговаря чрез Съвета по киберсигурността, който задейства специален Национален план за реакция при кризи и координира общите мерки.
Какви минимални мерки за киберсигурност трябва да въведат съществените и важни субекти?
Законът изисква всеобхватен подход. Минималните мерки включват политики за анализ на риска, планове за справяне с инциденти, осигуряване на непрекъснатост на дейността (вкл. създаване на резервни копия), сигурност на веригата за доставки, многофакторно удостоверяване (MFA), криптиране и обучение по киберхигиена за персонала.
Задължени ли са доставчиците на облачни услуги да спазват Закона за киберсигурност?
Да, доставчиците на компютърни услуги в облак (cloud providers) са строго регулирани от Закона за киберсигурност. Те са класифицирани като част от висококритичната "цифрова инфраструктура" на страната и подлежат на строги изисквания за регистрация, управление на риска и докладване на значителни киберинциденти.
Какви облекчения предвижда Актът за ИИ за малки и средни предприятия и стартъпи?
Актът за ИИ предвижда ключови облекчения за малки и средни предприятия (МСП) и стартъпи. Те включват приоритетен и безплатен достъп до регулаторни лаборатории, възможност за попълване на опростена техническа документация, облекчения при системите за качество за микропредприятията и значително по-ниски максимални размери на глобите.
Длъжни ли са доставчиците на ИИ модели да публикуват обобщение на съдържанието, използвано за обучение?
Да, доставчиците на модели на ИИ с общо предназначение (включително генеративен ИИ) имат стриктното задължение да изготвят и оповестяват публично достатъчно подробно обобщение на съдържанието, използвано за обучение на техния модел. Целта е да се гарантира прозрачност и защита на авторските права на творците.
Може ли медия (журналист) да обработва лични данни без съгласие за целите на свободата на изразяване?
Да, законът разрешава обработването на лични данни за журналистически, академични, художествени или литературни цели без предварително съгласие, когато това се прави за осъществяване на свободата на изразяване и правото на информация. Това изключение обаче изисква задължително зачитане на баланса с неприкосновеността на личния живот.
Може ли ИИ системи да бъдат обучавани с произведения, защитени с авторско право?
Моделите на ИИ се нуждаят от огромни масиви от данни, включително защитени с авторско право текстове и изображения. Това е допустимо, но законът задължава доставчиците да въведат политика за стриктно спазване на европейското авторско право. Те трябва да уважават изричните откази (запазване на права) от страна на авторите да бъдат използвани произведенията им.
Трябва ли да правя "оценка на въздействието върху защитата на данните" при висок риск за лицата?
Да, когато се планира въвеждане на нови технологии или операции, които има вероятност да породят висок риск за правата на физическото лице, предварителната оценка на въздействието е задължителна. Тя гарантира, че рисковете са анализирани и са предприети мерки за тяхното ограничаване преди същинското обработване.
Как се гарантира "оперативната съвместимост" между различните държавни регистри?
Оперативната съвместимост се гарантира чрез задължителното използване на единни технологични и функционални стандарти от всички институции. Законът налага "семантична съвместимост", при която наименованията на данните и административните услуги се уеднаквяват и формализират, за да могат компютърните системи на държавата да ги обработват и обменят автоматизирано.
Кои са осемте области за високорисков ИИ според Приложение III?
Осемте критични области за високорисков ИИ обхващат биометричните данни, критичната инфраструктура, образованието, заетостта, достъпа до основни услуги, правоохранителната дейност, управлението на миграцията и границите, както и правораздаването и демократичните процеси.
Кой носи отговорност, ако внедрител промени съществено система с ИИ и тя причини вреди?
Ако внедрител, дистрибутор или друго трето лице внесе съществено изменение в една високорискова система с ИИ, законът предвижда смяна на отговорността. Лицето, извършило промяната, автоматично се счита за новия "доставчик" пред закона и поема всички задължения, включително за безопасност и евентуални причинени вреди.
Могат ли управителите на фирмата да носят лична отговорност за неспазване на мерките за киберсигурност?
Да, ръководството на компанията има директна законова отговорност за осигуряването на киберсигурността. Според закона, членовете на управителните органи на съществените и важните субекти са изрично задължени да преминават специализирани обучения и да организират такива за своите служители.
Може ли да се откаже достъп до лични данни, ако това застрашава националната сигурност?
Да, администраторът на лични данни има законното право да откаже пълно или частично упражняването на правото ви на достъп. Това се допуска само когато предоставянето на информацията би създало реален риск за националната сигурност, отбраната, обществения ред или предотвратяването на тежки престъпления.
Има ли отстъпка от държавните такси, ако услугата бъде заявена по електронен път?
Да, законът предвижда административните органи да предоставят електронните услуги с намалена държавна такса в сравнение с таксата за присъствено заявяване (на гише), ако при изчисляването на разходите се установи, че дигиталната обработка е по-евтина за държавата.
Какво е "Портал на електронното управление"?
Порталът на електронното управление е официалната единна точка за достъп до всички електронни административни услуги, предлагани от държавните и общинските администрации. Той се изгражда и поддържа от Министерството на електронното управление и позволява лесно и сигурно електронно взаимодействие между гражданите, бизнеса и държавата.
Има ли право потребителят на обяснение, ако компютърен алгоритъм (ИИ) вземе решение срещу него?
Да, всяко засегнато лице има абсолютното право да получи ясно и съдържателно обяснение от внедрителя на високорисков ИИ. Това право възниква, когато решението, взето от алгоритъма, поражда правни последици за човека или му оказва неблагоприятно въздействие върху здравето, безопасността или основните права.
Имат ли право наследниците на починало лице да получат достъп до личните му данни?
Въпреки че общите правила за защита на данните не се прилагат за починали лица, законът въвежда изрично изключение. Наследниците или други лица с доказан правен интерес имат пълното право да изискат и да получат достъп, включително физическо копие, до личните данни на починалия.
Какви са правомощията на компетентните органи при проверка на киберсигурността в частна компания?
При проверка контролните органи имат изключително широки правомощия. Те извършват планови и извънпланови проверки на място, провеждат целеви одити, изискват достъп до данни и документация, и могат да налагат задължителни предписания за отстраняване на слабости и преустановяване на незаконни практики.
Има ли право Комисията за защита на личните данни (КЗЛД) да налага принудителни мерки?
Да, Комисията за защита на личните данни (КЗЛД) има правомощия да налага принудителни административни мерки при установени нарушения. Тези мерки варират от отправяне на предупреждения и задължителни предписания за изтриване на данни, до временно или окончателно ограничаване и дори пълна забрана на обработването на информация.
Каква е процедурата при "нарушение на сигурността на личните данни" (изтичане на данни)?
При пробив или изтичане на данни (нарушение на сигурността), администраторът е длъжен да уведоми Комисията за защита на личните данни (КЗЛД) без ненужно забавяне, като приложимият стандарт е до 72 часа. При висок риск за правата на гражданите, администраторът трябва да информира и самите засегнати лица.
Могат ли гражданите да проследяват статуса на заявената си електронна услуга?
Да, гражданите имат изричното право да следят развитието на своите преписки. Законът задължава доставчиците на електронни административни услуги да осигурят на заявителите постоянен и безпрепятствен електронен достъп до текущото състояние и статуса на заявената от тях услуга.
Има ли право фирма да публикува публично ЕГН на своите клиенти или длъжници?
Категорично не. Законът за защита на личните данни (ЗЗЛД) изрично забранява свободния публичен достъп до информация, съдържаща единен граждански номер (ЕГН) или личен номер на чужденец. Публикуването на списъци с длъжници или клиенти, съдържащи тези идентификатори, е тежко административно нарушение, освен ако няма специален закон, който да го изисква.
Каква е разликата между "администратор" и "обработващ" лични данни според ЗЗЛД и GDPR?
Администраторът е лицето или организацията, която самостоятелно определя целите и средствата за обработване на данните (защо и как се събират). Обработващият е отделен субект, който обработва личните данни единствено от името и по строгите изрични указания на администратора.
Изисква ли се извършването на редовни одити на киберсигурността за съществените субекти?
Да, Законът за киберсигурност предвижда извършването на одити за съществените субекти. Контролните органи имат пълното право да провеждат редовни и целеви одити на сигурността, както и да изискват от компаниите доказателства за изпълнение на техните политики чрез предоставяне на резултати от независими външни одити.
Къде се регистрират съществените и важните субекти по Закона за киберсигурност?
Всички съществени и важни субекти подлежат на задължителна регистрация в специален централизиран Регистър. Този регистър се създава, води и поддържа директно от министъра на електронното управление и съдържа ключова административна и мрежова информация за компаниите.
Какво е "регулаторна лаборатория в областта на ИИ" (AI regulatory sandbox)?
Регулаторните лаборатории в областта на ИИ са контролирани среди, създадени от държавите членки. Те предоставят безопасно физическо или цифрово пространство за разработване, обучение, изпитване и валидиране на иновативни системи с ИИ под строг надзор от компетентните органи, преди тези технологии да бъдат пуснати на пазара.
Може ли да се изисква съгласие от дете под 14-годишна възраст за обработка на данни онлайн?
Не, дете под 14-годишна възраст не може самостоятелно да даде валидно съгласие за обработка на личните му данни в интернет (например при регистрация в социална мрежа или мобилно приложение). Законът задължава това съгласие да бъде предоставено изрично от негов родител или настойник.
Как се съхраняват данните от историята на достъпа ми до електронните ми досиета?
Историята за автоматизирания служебен обмен на вашите данни между различните институции се съхранява задължително за срок от 10 години. Всеки гражданин има гарантирано право на напълно безплатен достъп до тази история, за да провери кой и кога е изисквал или разглеждал информацията, отнасяща се до него.
Какви са санкциите, ако доставчик предостави невярна информация за ИИ система на надзорните органи?
Предоставянето на невярна, непълна или подвеждаща информация на компетентните или нотифицираните органи се наказва със сериозни глоби. Според закона санкцията за такова нарушение достига до 7 500 000 евро или до 1% от общия годишен световен оборот на предприятието нарушител.
Какво е "съществен субект" според Закона за киберсигурност и попада ли фирмата ми в тази категория?
Съществените субекти са големите и критично важни за икономиката компании, които подлежат на най-строг държавен контрол. В тази категория попадат предприятия от критични сектори (напр. енергетика, здравеопазване, транспорт), които надхвърлят размерите на средно предприятие, както и всички телекоми, доставчици на квалифицирани удостоверителни услуги и държавната администрация.
Какво представлява Секторен екип за реагиране при инциденти (СЕРИКС)?
Секторните екипи за реагиране при инциденти (СЕРИКС) са специализирани държавни звена към националните компетентни органи. Тяхната основна роля е да наблюдават киберзаплахите в конкретния сектор, да подават ранни предупреждения към бизнеса, да оказват методическа помощ при разрешаване на атаки и да сканират проактивно системите на съществените субекти.
Какво се случва, ако високорискова система с ИИ причини "сериозен инцидент" (напр. смърт или вреда)?
Ако високорисков ИИ причини сериозен инцидент (като смърт, здравна вреда, срив на критична инфраструктура или нарушаване на човешки права), доставчикът е длъжен незабавно да докладва на надзорните органи. Той трябва спешно да разследва случая и да предприеме мерки за отстраняване на риска.
Признава ли се подаването на документи чрез Системата за сигурно електронно връчване (ССЕВ) за официално?
Да, подаването чрез Системата за сигурно електронно връчване (ССЕВ) е напълно официално и правно валидно. Системата представлява услуга за електронна препоръчана поща, която гарантира момента на изпращане, получаване, целостта на документа и безспорната самоличност на изпращача.
Какво представлява "системен риск" при големите модели на ИИ с общо предназначение?
Системният риск възниква при най-мощните модели на ИИ (с изключително висока степен на въздействие), които са обучени с огромна изчислителна мощ. Поради мащаба си, тези модели могат да предизвикат сериозни неблагоприятни последици на равнището на целия Европейски съюз, засягайки обществената сигурност, здравето или демократичните процеси.
Може ли министърът на електронното управление да спре експлоатацията на уязвима информационна система?
Да, министърът на електронното управление разполага с правомощието да наложи принудителна мярка за спиране на експлоатацията на уязвима комуникационна и информационна система. Това се случва, когато не са спазени законовите разпоредби и предписанията за киберсигурност и електронно управление.
Каква е процедурата за споделяне на информация за киберзаплахи между частни компании?
Законът за киберсигурност насърчава доброволното споделяне на информация за киберзаплахи и уязвимости между частните компании. Този обмен се осъществява в специализирани общности чрез споразумения за сътрудничество, които гарантират строга защита на търговските тайни, конкурентното право и личните данни на субектите.
Задължени ли са средните предприятия да прилагат мерки за киберсигурност според новите правила?
Да, законът изрично обхваща средните предприятия. Ако вашата компания оперира в някой от регулираните сектори (като цифрова инфраструктура, производство, пощи или храни) и отговаря на финансовите критерии за средно предприятие, тя е длъжна да въведе съответните задължителни защитни мерки.
Какво се случва, ако електронната система на дадено ведомство се срине при подаване на документ?
Според Закона за електронното управление, рискът от грешки при самото предаване на електронното изявление лежи върху заявителя, докато не получи потвърждение. За да се предотвратят сривове обаче, институциите са задължени да осигурят "отказоустойчивост", постоянна интернет свързаност и регулярно създаване на резервни копия (бакъпи) на всички регистри и системи.
В какъв срок трябва да се докладва "значителен инцидент" в сферата на киберсигурността?
Значителните инциденти трябва да се докладват приоритетно и без ненужно забавяне. Законът изисква незабавен (често в рамките на 24 часа за ранно предупреждение) достъп до уведомленията към компетентните държавни органи (като ЕРИКС), за да се ограничи максимално щетата от атаката.
В какъв срок администраторът трябва да отговори на искане за упражняване на права (напр. изтриване)?
В общия случай администраторът трябва да отговори на искане за упражняване на права (например право на достъп или право да бъдеш забравен) в срок до един месец от получаването му. Същият едномесечен срок важи по ЗЗЛД и за задължителното изтриване на данни, които са били събрани незаконно.
Кои системи с ИИ се считат за "свободен софтуер с отворен код" и какви са изключенията за тях?
Актът за ИИ по правило освобождава от задължения системите, предоставени безплатно с отворен код, чиито параметри са публично достъпни. Изключение обаче се прави, ако този софтуер е високорисков, ако нарушава абсолютни забрани (чл. 5), или ако представлява модел с общо предназначение, пораждащ системен риск.
Длъжен ли е работодателят да уведоми работниците, че въвежда високорисков ИИ на работното място?
Да, работодателят е абсолютно задължен да информира представителите на работниците и самите засегнати служители, че спрямо тях ще се използва високорискова система с ИИ. Това уведомление трябва да бъде направено преди пускането в действие на технологията на работното място.
Какво е "вътрешна електронна административна услуга" и събира ли се такса за нея?
Вътрешната електронна административна услуга се предоставя от един държавен орган на друг, за да могат те служебно и отдалечено да обменят данни и да осъществяват правомощията си. Според закона, за тези вътрешни служебни услуги категорично не се събират такси.
Какви са изискванията към "важните субекти" съгласно Закона за киберсигурност?
Важните субекти са задължени да въведат адекватни технически и организационни мерки за управление на киберрисковете и да докладват за значителни инциденти. Въпреки че режимът им на надзор е малко по-облекчен от този на съществените субекти, те трябва стриктно да спазват всички законови правила за мрежова сигурност.
Високорисков ли е ИИ, който се използва за оценка на кредитния рейтинг за отпускане на заем?
Да, системите с ИИ, които оценяват кредитоспособността на физическите лица или определят техния кредитен рейтинг за отпускане на заем, се считат за високорискови. Изключение правят единствено системите, които се използват стриктно за откриване и предотвратяване на финансови измами.
Високорисков ли е ИИ, който се използва за оценяване на ученици и студенти на изпити?
Да, системите с ИИ, използвани в образованието за оценяване на учебните резултати, за определяне на достъпа и приема в институции, както и за наблюдение на поведението по време на изпити, са изрично класифицирани като високорискови от европейското законодателство.
Счита ли се за високорисков ИИ, който подбира кандидати за работа или оценява работници?
Да, всяка система с изкуствен интелект, предназначена за подбор на персонал, анализиране на молби за работа, разпределяне на задачи или оценяване на представянето на работниците, се класифицира категорично като високорискова според европейския Акт за ИИ.
Трябва ли високорисковите ИИ системи да имат маркировка "CE"?
Да, високорисковите системи с изкуствен интелект трябва да преминат през официално оценяване на съответствието с европейските изисквания. След успешното приключване на тази процедура, доставчикът е длъжен да състави официална ЕС декларация за съответствие, която удостоверява, че системата покрива всички стандарти за здраве, безопасност и защита на основните права.
Откога влизат в сила забраните за използване на изкуствен интелект по новия Регламент?
Забраните за неприемливи практики с ИИ (като социално оценяване, разпознаване на емоции или манипулация) влизат в сила приоритетно от 2 февруари 2025 г. Въпреки че Регламентът в своята цялост ще започне да се прилага от 2 август 2026 г., забраните имат ускорено действие.
Кои практики и системи с изкуствен интелект са напълно забранени в ЕС?
Европейският съюз забранява изцяло ИИ системи, които манипулират подсъзнанието, експлоатират уязвимости на хора (напр. поради възраст), извършват социално оценяване (social scoring) или предвиждат престъпления само чрез профилиране. Забранени са още нецеленасоченото извличане на лица от интернет, както и разпознаването на емоции на работното място.
Забранено ли е използването на изкуствен интелект за "социално оценяване" (social scoring)?
Да, използването на ИИ за социално оценяване от правителства или частни компании е абсолютно забранено в ЕС. Законът не допуска класифициране на хората въз основа на тяхното социално поведение, ако това води до неблагоприятно третиране в несвързан контекст или ако третирането е напълно непропорционално.
Задължени ли са административните органи да предоставят електронни услуги на гражданите?
Да, съгласно Закона за електронното управление (ЗЕУ), административните органи са задължени да предоставят административни услуги по електронен път. Те трябва да осигуряват достъпен, лесен и удобен начин на гражданите и бизнеса да заявяват и получават услуги онлайн.
Какви са задълженията на доставчиците на високорискови системи с ИИ преди пускането им на пазара?
Преди пускане на пазара доставчиците на високорискови ИИ системи трябва да внедрят система за управление на качеството, да изготвят подробна техническа документация и да преминат процедура за оценяване на съответствието. След успешно оценяване те издават ЕС декларация за съответствие и регистрират системата в специална европейска база данни.
Какви са задълженията на дистрибуторите на високорискови системи с ИИ?
Дистрибуторите носят отговорност по веригата на доставки и трябва да проверят дали високорисковата система има CE маркировка и техническа документация, преди да я предложат на пазара. Ако дистрибуторът внесе съществено изменение в системата или я пусне под свое име, той се превръща в "доставчик" по смисъла на закона.
Имат ли вносителите на системи с ИИ от трети държави задължения по Акта за ИИ?
Да, вносителите на системи с ИИ от трети държави имат ключови задължения и носят строга отговорност. Преди да пуснат системата на пазара в ЕС, те трябва да се уверят, че оригиналният доставчик е преминал процедура за оценяване на съответствието, изготвил е техническа документация и е поставил изискуемата маркировка.
Трябва ли доставчиците на ИИ да регистрират високорисковите си системи в специална база данни на ЕС?
Да, доставчиците на високорискови системи с ИИ са абсолютно задължени да регистрират себе си и системата си в публична база данни на ЕС, преди тя да бъде пусната на пазара. За системите в правоохранителната и миграционната област обаче регистрацията се прави в таен (непубличен) раздел на базата.
Задължително ли е да имам квалифициран електронен подпис (КЕП), за да ползвам електронни услуги?
Невинаги. Макар КЕП да е най-популярното средство, законът допуска и други средства за електронна идентификация. Ако се идентифицирате със средство за електронна идентификация с ниво на осигуреност "високо", можете да подпишете електронното си заявление и само с усъвършенстван електронен подпис.
В кои случаи е задължително назначаването на Длъжностно лице по защита на данните (DPO)?
Назначаването на Длъжностно лице по защита на данните (DPO) е задължително за всички държавни и местни публични органи. В частния сектор то е задължително, когдато основната дейност на фирмата изисква мащабно, редовно и систематично наблюдение на хора, или при мащабно обработване на чувствителни лични данни.
Задължително ли е провеждането на обучения по киберхигиена за служителите в съществените субекти?
Да, провеждането на такива обучения е напълно задължително според новия закон. Компаниите (съществени и важни субекти) трябва да включат основните практики за киберхигиена в мерките си за управление на риска, а управителните органи са задължени да организират тези обучения за целия персонал.
Какви са задълженията за прозрачност при създаване на "дийпфейк" (deepfake) съдържание?
Потребителите, които използват ИИ за генериране на аудио, видео или изображения, представляващи убедителен фалшификат на реални лица или събития (deepfake), са абсолютно задължени публично, ясно и разпознаваемо да оповестят, че това съдържание е изкуствено генерирано. Изключения се правят само за целите на правоприлагането или за явно сатирично изкуство.
Прилага ли се Законът за киберсигурност спрямо доставчици на онлайн места за търговия (маркетплейси)?
Да, доставчиците на онлайн места за търговия (маркетплейси) попадат в обхвата на Закона за киберсигурност. Те are категоризирани като доставчици на цифрови услуги и ако отговарят на условията за средно или голямо предприятие, задължително трябва да спазват мерките за киберсигурност и докладване на инциденти.
Как се гарантира защитата на личните данни при използване на система за подаване на сигнали за нарушения (whistleblowing)?
Защитата на данните при подаване на сигнали за нарушения (whistleblowing) се гарантира чрез задължението на работодателя да приеме строги вътрешни правила и процедури. Отделно, законът изисква заседанията на Комисията за защита на личните данни (КЗЛД), свързани със защита на подаващите сигнали лица, да бъдат изцяло закрити.
Изисква ли се защита от "отравяне на данните" (data poisoning) при разработване на високорисков ИИ?
Да, защитата от "отравяне на данните" е задължително изискване за киберсигурност при всички високорискови ИИ системи. Доставчиците са длъжни да внедрят технически решения за предотвратяване, откриване и неутрализиране на атаки, които целят злонамерена манипулация на обучителните масиви с данни.
Мога ли да заявя електронна услуга чрез посредник (например адвокат)?
Да, гражданите имат пълното право да заявяват административни услуги по електронен път чрез посредник, например адвокат или консултант, който действа въз основа на пълномощно или договор. Изключение правят само строго лични услуги като издаване на лични документи или визи.
Може ли физическо лице да подаде сигнал, ако правата му са нарушени от система с ИИ?
Да, всяко физическо лице има право да подаде жалба до надзорните органи, ако счита, че правата му са нарушени от система с ИИ. Лицата имат и изричното право на ясно обяснение от внедрителя за това как алгоритъмът е взел неблагоприятно решение спрямо тях.
До кого се подава жалба при злоупотреба с лични данни в България?
При злоупотреба с лични данни, засегнатите лица могат да подадат жалба до Комисията за защита на личните данни (КЗЛД), която е националният независим надзорен орган в България. Алтернативно или успоредно с това, законът дава абсолютното право на гражданите да потърсят защита на правата си и директно пред компетентния съд.
Няма намерени резултати
Не открихме въпроси, които да съдържат тези ключови думи. Опитайте с по-общи термини.