Персональні дані та конфіденційна інформація не тотожні

 Поняття «конфіденційна інформація» та «персональні дані» часто плутають, але в управлінні дослідницькими даними важливо бачити різницю. Персональні дані стають конфіденційними лише тоді, коли їх такими визнає закон або сама людина.

Ось логічний розбір цього поняття згідно із Законом України «Про інформацію».

---

1. Що таке конфіденційна інформація?

Це інформація про фізичну особу, доступ до якої обмежений самою особою або законом (ст. 21, п. 2). Вона належить до категорії інформації з обмеженим доступом (ст. 21, п. 1).

---

2. Що саме туди входить?

Закон (ст. 11, ч. 2) наводить орієнтовний перелік даних, які є конфіденційними:

• Особисті факти: дата і місце народження, адреса.

• Соціальний статус: освіта, сімейний стан.

• Переконання та ідентичність: національність, релігійні переконання.

• Чутливі дані: стан здоров'я.

Важливо: Цей перелік не є вичерпним. Людина може визначити як конфіденційні й інші відомості про себе.

---

3. Головне правило для дослідника: Згода

Конфіденційна інформація не може вільно «гуляти» мережею. Її поширення можливе лише за двох умов (ст. 21, ч. 2):

1. Бажання особи: людина сама хоче поділитися інформацією.

2. Чітка згода: особа визначає порядок і умови, за яких ви можете використовувати її дані.

Не дозволяється збирання, зберігання, використання поширення конфіденційної інформації фізичної особи без її згоди (окрім виключень згідно ЗУ в інтересах безпеки, економічного добробуту, прав людини)

ч.2 ст. 32 Конституції України

Для вашого дослідження це означає: ви не маєте права обробляти чи публікувати ці дані, поки не отримаєте письмову або іншу зафіксовану згоду учасника дослідження.

---

4. Винятки (Коли згода не потрібна)

Закон передбачає ситуації, коли конфіденційність може бути «порушена» без згоди особи, але це стосується виключно:

• Інтересів національної безпеки.

• Економічного добробуту.

• Захисту прав людини.

• Випадків, прямо встановлених законом.

Резюме для управління даними: Конфіденційна інформація — це «приватна територія» учасника дослідження. Щоб зайти на неї, ви мусите мати юридичний «дозвіл» (згоду), де чітко прописано, що ви будете робити з даними та як їх захищатимете.

Обробка персональних даних

 Обробка даних у науковому дослідженні — це не просто їх збирання, а цілий цикл дій, який суворо регулюється Законом України «Про захист персональних даних».

Ось головні правила, викладені простою мовою:

---

1. Що таке «обробка»? (Стаття 2)

Багато хто думає, що обробка — це лише аналіз. Насправді, згідно із законом, обробка — це будь-яка маніпуляція з даними від моменту їх отримання до моменту видалення. Сюди входять:

• Збирання та реєстрація.

• Зберігання та накопичення.

• Зміна або поновлення.

• Поширення (передача колегам, публікація).

• Знеособлення (анонімізація).

• Знищення.

---

2. Принцип «Тимчасовості» (Стаття 6, ч. 8)

Закон чітко обмежує час, протягом якого ви можете зберігати дані в ідентифікованому вигляді (з іменами, адресами тощо).

• Правило: Ви можете ідентифікувати особу лише доти, доки це необхідно для мети вашого дослідження.

• Виняток для науки: Подальша обробка для наукових, статистичних чи історичних цілей дозволена, але за умови належного захисту. Це означає, що як тільки збір закінчено, дані мають бути анонімізовані або надійно зашифровані.

---

3. «Заборонені» зони: Дані особливого ризику (Стаття 7)

Закон захищає певні типи інформації особливо суворо. Стаття 7 (ч. 1) прямо забороняє обробку даних про:

• Расове або етнічне походження.

• Політичні, релігійні чи світоглядні переконання.

• Членство в партіях чи профспілках.

• Здоров'я, статеве життя.

• Біометричні або генетичні дані.

• Засудження до кримінального покарання.

Важливо: Дослідники можуть працювати з такими даними лише у виняткових випадках (наприклад, за наявності однозначної письмової згоди суб'єкта або якщо це необхідно для медичних цілей, визначених законом).

---

4. Як закон обмежує дослідника?

Ваша свобода як науковця закінчується там, де починається приватність людини. Навіть якщо ви вважаєте дані дуже важливими для науки:

1. Мета понад усе: Ви не можете використовувати дані, зібрані для одного експерименту, в іншому, якщо не попередили про це учасника.

2. Безпека: Ви несете юридичну відповідальність за витік конфіденційної інформації.

Резюме: Обробка даних у 2026 році вимагає від дослідника бути не лише вченим, а й трохи юристом. Головна формула: «Збирай мінімум — захищай максимум — видаляй вчасно».

Персональні дані

Персональні дані — це не просто набір літер та цифр у вашому паспорті. Це будь-яка інформація, за якою можна «вирахувати» конкретну живу людину.  

Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. 

Простими словами, це ваш «цифровий відбиток» у світі.

Яка інформація вважається персональною?

Все, що дозволяє вас ідентифікувати, потрапляє до цієї категорії:

Закони про захист даних

1. Західні стандарти: GDPR та американська модель

Коли ви працюєте з міжнародними проєктами, правила гри диктують три основні "кити": GDPR, британський DPA та американські галузеві правила.

1. Європа та Велика Британія (GDPR та DPA 2018) У ЄС та Британії діє найсуворіший регламент захисту даних — GDPR. Він каже: будь-яка дія з даними людини (збирання, аналіз чи навіть видалення) — це «обробка».

• Особлива увага: Дані про расу, політику, здоров’я та сексуальну орієнтацію вважаються «чутливими» (особливої категорії). Для їх обробки потрібні надзвичайно вагомі підстави.

• Штучний інтелект: Зараз Європа активно впроваджує етичні рекомендації для ШІ, щоб алгоритми не порушували приватність і не створювали соціальної несправедливості.

2. Сполучені Штати (Common Rule, FERPA, HIPAA) В США немає єдиного закону, як GDPR, але є чіткі галузеві правила:

• The Common Rule: Головний закон для дослідників. Він зобов'язує створювати етичні комісії (IRBs) та отримувати інформовану згоду.

• FERPA: Захищає приватність студентів та їхні оцінки.

• HIPAA: "Священна книга" медичних даних. Тут популярний метод «Safe Harbor» (Безпечна гавань) — щоб зробити дані відкритими, з них треба видалити рівно 18 типів ідентифікаторів.

2. Україна: Від Конституції до Конвенції 108+

Українське законодавство активно адаптується до європейських норм, спираючись на фундамент прав людини.

1. Міжнародний фундамент: Конвенція 108+ Україна є частиною глобальної системи захисту. Ми ратифікували Конвенцію 108+, яка вимагає від держави дотримуватися п'яти принципів:

• Прозорість (людина знає, що з її даними роблять);

• Мінімізація (збирати тільки те, що реально треба);

• Підзвітність (дослідник відповідає за безпеку);

• Пропорційність та Privacy by design (захист даних має бути частиною архітектури системи ще на етапі розробки).

2. Український пакет законів В Україні приватність захищає цілий набір документів:

• Конституція (ст. 32): Пряма заборона збирати чи поширювати інформацію про особу без її згоди (крім випадків національної безпеки).

• Закон «Про захист персональних даних»: Основний робочий інструмент для дослідника. Він визначає, як правильно обробляти дані.

• Закон «Про доступ до публічної інформації»: Балансує право на приватність із правом громадянина знати, як працює держава.

• Закон «Про офіційну статистику»: Окремо регулює конфіденційність даних, зібраних для статистичних цілей.

Незалежно від країни, головний тренд — повна прозорість перед суб'єктом даних та сувора деідентифікація перед публікацією результатів.

ЗАКОНИ:

• Закон України «Про захист персональних даних» — базовий закон, що регулює збір та обробку даних.

• Закон України «Про інформацію» — регулює право на доступ, використання та зберігання інформації.

• Закон України «Про доступ до публічної інформації» — визначає обов'язки розпорядників інформації.

  • Примітка: У січні 2026 року набув чинності Закон №4212-IX, який посилив прозорість роботи держорганів.

• Офіс Уповноваженого ВРУ з прав людини — тут публікуються офіційні роз'яснення та рекомендації щодо захисту приватності.

Ці закони мають «екстратериторіальну» дію — якщо ви досліджуєте громадян ЄС, ви зобов'язані їх виконувати:

• Офіційний текст EU GDPR — регламент ЄС про захист даних з усіма актуальними поправками.

• Data Protection Act 2018 (UK) — основний закон Великої Британії, що доповнює UK GDPR.

• ICO (Information Commissioner's Office) — найкращий ресурс для дослідників з детальними гайдами («GDPR and Research»).

• Етичні рекомендації щодо надійного ШІ — ключовий документ Єврокомісії для тих, хто працює з алгоритмами.

Для роботи з американськими партнерами зверніть увагу на ці федеральні ресурси:

• The Common Rule (45 CFR Part 46) — федеральні правила захисту людей у дослідженнях.

• HIPAA Privacy Rule (Огляд 2026) — правила захисту медичних даних (PHI) та методи деідентифікації.

• FERPA (Family Educational Rights and Privacy Act) — захист освітніх даних студентів.

Міжнародні стандарти та конвенції

• Конвенція 108+ (Оновлена) — глобальний стандарт Ради Європи, до якого приєдналася Україна.

• FAIRsharing.org — глобальна база стандартів та політик обміну даними.

NB! Завжди перевіряйте статус «Чинний» (In force) на офіційних сайтах, оскільки закони у сфері цифрових послуг та ШІ у 2026 році змінюються надзвичайно швидко.