Принципи обробки даних відповідно до GDPR

З 25 травня 2018 року Загальний регламент про захист даних (GDPR, Європейський Союз, 2016a) застосовується до будь-якого дослідника ЄС або дослідника в Європейській економічній зоні (ЄЕЗ), який збирає персональні дані, та будь-якого дослідника в усьому світі, який збирає персональні дані громадян ЄС. GDPR застосовується лише до даних живих осіб. Дані, які не вважаються персональними даними, не підпадають під законодавство про захист даних, хоча все ще можуть бути етичні причини для захисту цієї інформації.

Щоб ваше дослідження було законним, воно має відповідати цим шести принципам:

1. Законність і прозорість: Людина має точно знати, хто, як і навіщо збирає її дані.

2. Обмеження мети: Ви не можете зібрати мейли для опитування про фізику, а потім розсилати на них рекламу свого стартапу.

3. Мінімізація даних: Збирайте лише те, що реально потрібно. Якщо для дослідження алгоритму не потрібна домашня адреса користувача — не запитуйте її.

4. Точність: Якщо людина каже, що її дані застаріли, ви маєте їх оновити або видалити.

5. Обмеження зберігання: Не тримайте дані вічно. Як тільки дослідження завершене і результати опубліковані (або пройшов термін зберігання за грантом) — дані мають бути видалені.

6. Цілісність і конфіденційність: Захист від хакерів, випадкової втрати або «зливу» інформації через недбалість.

Додатково: https://dmeg.cessda.eu/Data-Management-Expert-Guide/5.-Protect/Processing-personal-data

Єврорегламент GDPR вимагає, щоб захист даних не був «додатком», який ви вмикаєте в кінці. Він має бути закладений у саму структуру вашого дослідження:

• Псевдонімізація: Заміна імен кодами. Ви тримаєте список «Код = Прізвище» у зашифрованому файлі окремо від самих відповідей.

• Анонімізація: Повне видалення зв'язку між даними та людиною.

• Доступ: Ваші бази даних не повинні бути публічними «за замовчуванням». Доступ має бути лише у вас і вашої команди.

• Технічні заходи: Використовуйте двофакторну автентифікацію для хмарних сховищ та не обмінюйтесь файлами з ПД через месенджери.

• Інформована згода: Це не просто папірець. Це підтвердження того, що ви діяли справедливо

Закони про захист даних

1. Західні стандарти: GDPR та американська модель

Коли ви працюєте з міжнародними проєктами, правила гри диктують три основні "кити": GDPR, британський DPA та американські галузеві правила.

1. Європа та Велика Британія (GDPR та DPA 2018) У ЄС та Британії діє найсуворіший регламент захисту даних — GDPR. Він каже: будь-яка дія з даними людини (збирання, аналіз чи навіть видалення) — це «обробка».

• Особлива увага: Дані про расу, політику, здоров’я та сексуальну орієнтацію вважаються «чутливими» (особливої категорії). Для їх обробки потрібні надзвичайно вагомі підстави.

• Штучний інтелект: Зараз Європа активно впроваджує етичні рекомендації для ШІ, щоб алгоритми не порушували приватність і не створювали соціальної несправедливості.

2. Сполучені Штати (Common Rule, FERPA, HIPAA) В США немає єдиного закону, як GDPR, але є чіткі галузеві правила:

• The Common Rule: Головний закон для дослідників. Він зобов'язує створювати етичні комісії (IRBs) та отримувати інформовану згоду.

• FERPA: Захищає приватність студентів та їхні оцінки.

• HIPAA: "Священна книга" медичних даних. Тут популярний метод «Safe Harbor» (Безпечна гавань) — щоб зробити дані відкритими, з них треба видалити рівно 18 типів ідентифікаторів.

2. Україна: Від Конституції до Конвенції 108+

Українське законодавство активно адаптується до європейських норм, спираючись на фундамент прав людини.

1. Міжнародний фундамент: Конвенція 108+ Україна є частиною глобальної системи захисту. Ми ратифікували Конвенцію 108+, яка вимагає від держави дотримуватися п'яти принципів:

• Прозорість (людина знає, що з її даними роблять);

• Мінімізація (збирати тільки те, що реально треба);

• Підзвітність (дослідник відповідає за безпеку);

• Пропорційність та Privacy by design (захист даних має бути частиною архітектури системи ще на етапі розробки).

2. Український пакет законів В Україні приватність захищає цілий набір документів:

• Конституція (ст. 32): Пряма заборона збирати чи поширювати інформацію про особу без її згоди (крім випадків національної безпеки).

• Закон «Про захист персональних даних»: Основний робочий інструмент для дослідника. Він визначає, як правильно обробляти дані.

• Закон «Про доступ до публічної інформації»: Балансує право на приватність із правом громадянина знати, як працює держава.

• Закон «Про офіційну статистику»: Окремо регулює конфіденційність даних, зібраних для статистичних цілей.

Незалежно від країни, головний тренд — повна прозорість перед суб'єктом даних та сувора деідентифікація перед публікацією результатів.

ЗАКОНИ:

• Закон України «Про захист персональних даних» — базовий закон, що регулює збір та обробку даних.

• Закон України «Про інформацію» — регулює право на доступ, використання та зберігання інформації.

• Закон України «Про доступ до публічної інформації» — визначає обов'язки розпорядників інформації.

  • Примітка: У січні 2026 року набув чинності Закон №4212-IX, який посилив прозорість роботи держорганів.

• Офіс Уповноваженого ВРУ з прав людини — тут публікуються офіційні роз'яснення та рекомендації щодо захисту приватності.

Ці закони мають «екстратериторіальну» дію — якщо ви досліджуєте громадян ЄС, ви зобов'язані їх виконувати:

• Офіційний текст EU GDPR — регламент ЄС про захист даних з усіма актуальними поправками.

• Data Protection Act 2018 (UK) — основний закон Великої Британії, що доповнює UK GDPR.

• ICO (Information Commissioner's Office) — найкращий ресурс для дослідників з детальними гайдами («GDPR and Research»).

• Етичні рекомендації щодо надійного ШІ — ключовий документ Єврокомісії для тих, хто працює з алгоритмами.

Для роботи з американськими партнерами зверніть увагу на ці федеральні ресурси:

• The Common Rule (45 CFR Part 46) — федеральні правила захисту людей у дослідженнях.

• HIPAA Privacy Rule (Огляд 2026) — правила захисту медичних даних (PHI) та методи деідентифікації.

• FERPA (Family Educational Rights and Privacy Act) — захист освітніх даних студентів.

Міжнародні стандарти та конвенції

• Конвенція 108+ (Оновлена) — глобальний стандарт Ради Європи, до якого приєдналася Україна.

• FAIRsharing.org — глобальна база стандартів та політик обміну даними.

NB! Завжди перевіряйте статус «Чинний» (In force) на офіційних сайтах, оскільки закони у сфері цифрових послуг та ШІ у 2026 році змінюються надзвичайно швидко.

Вплив типу даних на вибір стратегії захисту

Стратегія керування даними безпосередньо залежить від того, наскільки важко або неможливо їх «воскресити» у разі втрати. Уявіть, що дані — це інгредієнти на кухні. Те, звідки вони взялися, визначає, як ми повинні їх зберігати (у холодильнику чи в шафі) та наскільки сильно ми будемо хвилюватися, якщо вони зіпсуються.

Ось просте пояснення цих чотирьох категорій:

1. Спостережні дані (Observational)

Це те, що ми «спіймали» у реальному світі. Ви просто спостерігаєте за подією і записуєте її.

• Чому це важливо: Якщо ви не записали сонячне затемнення 2024 року в момент, коли воно відбувалося — ви втратили шанс назавжди. Ці дані неможливо відтворити, бо час не повернеш назад.

• Приклади: Запис температури сьогодні вранці, відео з камер спостереження, результати соцопитування людей на вулиці.

2. Експериментальні дані (Experimental)

Це те, що ви отримали в лабораторії, де ви «господар» ситуації. Ви самі створили умови й записали результат.

• Чому це важливо: Їх зазвичай можна отримати знову, якщо повторити експеримент. Але це може коштувати купу грошей або зайняти роки роботи.

• Приклади: Результати випробування нових ліків, реакція хімічних речовин у колбі, дослідження ДНК.

3. Симуляція (Simulation)

Це дані, які згенерував комп’ютер за допомогою математичної моделі. Це «цифрове передбачення».

• Чому це важливо: Якщо у вас є код (модель) і початкові цифри, які ви туди ввели, ви можете натиснути кнопку «Старт» і отримати той самий результат знову. Головне — не загубити саму програму.

• Приклади: Прогноз погоди на тиждень, моделювання того, як розбивається авто при зіткненні (краш-тест на комп'ютері).

4. Виведені або Складені дані (Derived / Compiled)

Це «дані з даних». Ви берете вже готову інформацію і переробляєте її на щось нове (аналізуєте, групуєте, чистите).

• Чому це важливо: Ви завжди можете зробити це знову, якщо у вас є першоджерела. Проте, якщо ви витратили 100 годин на аналіз тисяч документів, то втрата цього результату буде дуже болючою через втрачений час.

• Приклади: Зведені графіки продажів за рік (зроблені з тисяч чеків), 3D-модель будівлі, побудована на основі сотень фотографій.

Коротке порівняння для вибору стратегії:

Тип даних	Чи можна відтворити?	Пріоритет захисту
Спостережні	Ні (ніколи)	🔴 Найвищий (якщо втратимо — не повернемо)
Експериментальні	Так, але дорого	🟠 Високий (через вартість повтору)
Симуляція	Так (якщо є модель)	🟡 Середній (захищаємо код і вхідні дані)
Виведені	Так (якщо є джерело)	🟢 Нижчий (але бережемо робочий час)