Закони про захист даних

1. Західні стандарти: GDPR та американська модель

Коли ви працюєте з міжнародними проєктами, правила гри диктують три основні "кити": GDPR, британський DPA та американські галузеві правила.

1. Європа та Велика Британія (GDPR та DPA 2018) У ЄС та Британії діє найсуворіший регламент захисту даних — GDPR. Він каже: будь-яка дія з даними людини (збирання, аналіз чи навіть видалення) — це «обробка».

• Особлива увага: Дані про расу, політику, здоров’я та сексуальну орієнтацію вважаються «чутливими» (особливої категорії). Для їх обробки потрібні надзвичайно вагомі підстави.

• Штучний інтелект: Зараз Європа активно впроваджує етичні рекомендації для ШІ, щоб алгоритми не порушували приватність і не створювали соціальної несправедливості.

2. Сполучені Штати (Common Rule, FERPA, HIPAA) В США немає єдиного закону, як GDPR, але є чіткі галузеві правила:

• The Common Rule: Головний закон для дослідників. Він зобов'язує створювати етичні комісії (IRBs) та отримувати інформовану згоду.

• FERPA: Захищає приватність студентів та їхні оцінки.

• HIPAA: "Священна книга" медичних даних. Тут популярний метод «Safe Harbor» (Безпечна гавань) — щоб зробити дані відкритими, з них треба видалити рівно 18 типів ідентифікаторів.

2. Україна: Від Конституції до Конвенції 108+

Українське законодавство активно адаптується до європейських норм, спираючись на фундамент прав людини.

1. Міжнародний фундамент: Конвенція 108+ Україна є частиною глобальної системи захисту. Ми ратифікували Конвенцію 108+, яка вимагає від держави дотримуватися п'яти принципів:

• Прозорість (людина знає, що з її даними роблять);

• Мінімізація (збирати тільки те, що реально треба);

• Підзвітність (дослідник відповідає за безпеку);

• Пропорційність та Privacy by design (захист даних має бути частиною архітектури системи ще на етапі розробки).

2. Український пакет законів В Україні приватність захищає цілий набір документів:

• Конституція (ст. 32): Пряма заборона збирати чи поширювати інформацію про особу без її згоди (крім випадків національної безпеки).

• Закон «Про захист персональних даних»: Основний робочий інструмент для дослідника. Він визначає, як правильно обробляти дані.

• Закон «Про доступ до публічної інформації»: Балансує право на приватність із правом громадянина знати, як працює держава.

• Закон «Про офіційну статистику»: Окремо регулює конфіденційність даних, зібраних для статистичних цілей.

Незалежно від країни, головний тренд — повна прозорість перед суб'єктом даних та сувора деідентифікація перед публікацією результатів.

ЗАКОНИ:

• Закон України «Про захист персональних даних» — базовий закон, що регулює збір та обробку даних.

• Закон України «Про інформацію» — регулює право на доступ, використання та зберігання інформації.

• Закон України «Про доступ до публічної інформації» — визначає обов'язки розпорядників інформації.

  • Примітка: У січні 2026 року набув чинності Закон №4212-IX, який посилив прозорість роботи держорганів.

• Офіс Уповноваженого ВРУ з прав людини — тут публікуються офіційні роз'яснення та рекомендації щодо захисту приватності.

Ці закони мають «екстратериторіальну» дію — якщо ви досліджуєте громадян ЄС, ви зобов'язані їх виконувати:

• Офіційний текст EU GDPR — регламент ЄС про захист даних з усіма актуальними поправками.

• Data Protection Act 2018 (UK) — основний закон Великої Британії, що доповнює UK GDPR.

• ICO (Information Commissioner's Office) — найкращий ресурс для дослідників з детальними гайдами («GDPR and Research»).

• Етичні рекомендації щодо надійного ШІ — ключовий документ Єврокомісії для тих, хто працює з алгоритмами.

Для роботи з американськими партнерами зверніть увагу на ці федеральні ресурси:

• The Common Rule (45 CFR Part 46) — федеральні правила захисту людей у дослідженнях.

• HIPAA Privacy Rule (Огляд 2026) — правила захисту медичних даних (PHI) та методи деідентифікації.

• FERPA (Family Educational Rights and Privacy Act) — захист освітніх даних студентів.

Міжнародні стандарти та конвенції

• Конвенція 108+ (Оновлена) — глобальний стандарт Ради Європи, до якого приєдналася Україна.

• FAIRsharing.org — глобальна база стандартів та політик обміну даними.

NB! Завжди перевіряйте статус «Чинний» (In force) на офіційних сайтах, оскільки закони у сфері цифрових послуг та ШІ у 2026 році змінюються надзвичайно швидко.

Практичне управління: Ліцензування та обмін даними

Через велику кількість зацікавлених сторін, законів і політик, які можуть впливати на право власності на дані, дослідники можуть бути збентежені тим, хто насправді володіє даними, що може змусити їх стримано ділитися даними. Звертайтеся до спеціалістів із інформації та юристів на початку життєвого циклу дослідницьких даних, щоб визначитися, яка політика може вплинути на право власності на дані.

Особа, яка юридично володіє даними, має остаточний контроль над їх поширенням, збереженням та знищенням. Щоб цей процес був законним, використовуються спеціальні інструменти:

• Інформормована згода: Документ, через який суб'єкт дозволяє досліднику використовувати свої дані.

• Ліцензування: Дані можуть бути захищені ліцензіями (наприклад, Creative Commons), які дозволяють іншим використовувати їх за умови вказівки авторства або заборони комерційного використання.

• Вторинне використання: Якщо ви використовуєте чужі дані, ви повинні посилатися на першоджерело. Публікувати чужі дані без дозволу або спеціальної ліцензії (наприклад, відкритої чи платної) заборонено.

Як повторний користувач даних ви можете підтвердити свої опубліковані дослідження, посилаючись на першоджерело даних у всіх статтях, презентаціях і будь-яких заявках на гранти, які базуються на даних. У більшості випадків ви не можете публікувати дані, які ви не збирали чи створювали, оскільки у вас немає на це законного права.

Винятками є дані, які отримали ліцензію власника даних на перерозподіл (наприклад, за ліцензією Creative Commons або іншою відкритою ліцензією) або в ситуаціях, коли ви заплатили власнику прав за дозвіл на перерозподіл частин набору даних (тобто це дозволено на умовах платної ліцензії).

• Міжнародна співпраця: Закони різних країн щодо конфіденційності відрізняються, що може створювати складнощі в спільних проєктах. Важливо з’ясувати це до початку збору даних. Через складність законодавства (особливо при міжнародній співпраці), дослідникам варто звертатися до юристів або спеціалістів з інформації.

Суб'єкти відносин: Хто є хто в управлінні даними?

Питання власності дещо заплутані через різні зацікавлені сторони, залучені до збору та створення даних, та їхні ролі. 

ЗУ Про захист персональних даних Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними:

• суб'єкт персональних даних;

• володілець персональних даних;

• розпорядник персональних даних;

• одержувач, у т.ч. третя особа;

• Уповноважений Верховної Ради України з прав людини (далі - Уповноважений).

суб’єкт персональних даних - фізична особа, персональні дані якої обробляються; Він має право: знати що, де, як і для чого збирають, знати механізм обробки. Дослідникам часто потрібно отримати дозвіл від суб’єкта даних, щоб на законних підставах надавати доступ до оригінальних або похідних даних. Але Суб’єкт має право відкликати згоду та заборонити обробку!

володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Йому Потрібен дозвіл на обробку персональних даних відповідно до закону виключно для здійснення його повноважень.

розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Раннє вирішення проблем власності на дані є особливо важливим, оскільки особа, яка володіє даними, остаточно контролює їх поширення, збереження та знищення.

Власність на дані та інтелектуальна власність

Права інтелектуальної власності охоплюють будь-який результат, створений завдяки інтелектуальним зусиллям людини або організації. Проте у світі даних існують певні нюанси:

• Персональні дані: Кожна фізична особа має невід'ємні та непорушні немайнові права на відомості про себе.

• Факти проти оформлення: У багатьох країнах (наприклад, США) самі факти не підлягають авторському праву. Проте спосіб їх представлення — діаграми, таблиці чи візуалізації — може бути об’єктом авторського права.

• Інституційний вплив: Технічно дані часто можуть належати університету або установі, де працює дослідник. Важливо, щоб дослідники зверталися до своєї установи, якщо вони не впевнені щодо своїх прав інтелектуальної власності. Наприклад, у Політиці відкритої науки КПІ імені Ігоря Сікорського ці питання регулюються окремим розділом 8 “Інтелектуальна власність та етика”, відповідно до якого дані є інтелектуальною власністю Університету як службові об'єкти, проте дослідникам наполегливо рекомендується залишати за собою авторські та майнові права у відносинах із третіми сторонами (видавцями).

• Донори та гранти: Організації, що фінансують дослідження, не претендують на право власності на дані, але часто мають власну політику, яка визначає, як і де дослідник зобов'язаний ділитися отриманими результатами, накладає обмеження на розповсюдження даних.