З 2 серпня 2026 року закінчується пільговий період: регулятори перестають пояснювати, а починають застосовувати AI Act. Для більшості компаній це не привід для паніки, а привід навести лад — бо відповідність, додана постфактум, коштує в рази дорожче, ніж спроектована з нуля.
Два режими, які потрібно опанувати одночасно
RODO та AI Act — це різні режими, які частково перетинаються:
- RODO контролює, як ви обробляєте персональні дані — правова основа, мінімізація даних, права осіб (доступ, видалення), а при ризикованій обробці — оцінка впливу (DPIA).
- AI Act контролює, якою системою AI є ваше рішення — класифікує її за рівнем ризику та додає обов’язки: технічну документацію, людський нагляд, журнали, оцінку відповідності.
В Україні нагляд за обробкою даних через AI здійснює Уповноважений із захисту даних, а частину завдань AI Act — нова комісія при Міністерстві цифрової трансформації. На практиці: одне впровадження має відповідати обом наборам вимог, а не обирати один.
Класифікація ризику: де ви знаходитесь?
AI Act поділяє системи за рівнем ризику. Для більшості компаній важливі два рівні:
| Рівень ризику | Приклад | Ключовий обов’язок |
|---|---|---|
| Обмежений | Чат-бот «чим можу допомогти?», генератор контенту | Прозорість — користувач знає, що це AI |
| Високий | Профілювання клієнтів, скоринг, рішення щодо людей | Людський нагляд, документація, журнали, часто DPIA |
Межа практична: чат-бот, який лише відповідає на запитання, зазвичай має обмежений ризик. Той самий чат-бот, коли починає профілювати, оцінювати настрої або ухвалювати рішення щодо клієнта, переходить у категорію високого ризику та тягне за собою значно більше обов’язків — зокрема оцінку впливу (DPIA).
Чотири речі, які робимо завжди
Незалежно від рівня ризику, ці чотири елементи проектуємо в кожному впровадженні:
- Прозорість — асистент чітко представляється як AI та вміє в будь-який момент передати розмову людині (human-handoff). Це мінімум AI Act для систем обмеженого ризику.
- Людський нагляд — незворотні дії та важливі рішення щодо людини проходять через підтвердження (human-gate). Система не працює «взагалі» автономно — вона автономна в вузькому, визначеному діапазоні.
- Слід та підзвітність — кожен важливий крок логується, тому можна показати, що і чому зробила система. Без логів немає підзвітності, якої вимагають і RODO, і AI Act.
- Мінімізація та локалізація даних — PII маскуємо перед відправкою в хмару, а чутливі шляхи обробляємо локально. Чутливі дані можуть не залишати країну.
«Чи має бот представлятися?» — так
Це питання виникає найчастіше, а відповідь проста: так. Системи обмеженого ризику (чат-боти, асистенти, генератори контенту) мають відповідати вимозі прозорості — користувач має знати, що спілкується з AI або використовує згенерований нею контент. Тому наші асистенти не вдають людей: представляються як AI та пропонують переключення на людину. Це не обмежує цінність — це будує довіру.
Коли потрібен DPIA
#Оцінка впливу на захист даних (DPIA) потрібна, коли обробка може спричинити високий ризик для прав осіб — зазвичай при профілюванні у великих масштабах, обробці чутливих даних або автоматичних рішеннях щодо людей. На практиці: якщо ваша система лише відповідає на запитання з вашої бази знань, DPIA зазвичай не потрібна; якщо оцінює, профілює або ухвалює рішення — ймовірно, так. Це момент для розмови з юристом, а не для вгадування.
Відповідність — це проект, а не латка
Найважливіше правило те саме, що й у безпеці: бар’єри та відповідність проектуються з першого рядка. Вхід фільтрується, PII маскується, дії обмежуються, кожен крок логується, прозорість вбудована. Система, спроектована так, відповідає «за природою» — а не латається в паніці перед перевіркою. Той самий підхід, який робить впровадження відповідним до RODO при self-hosting.
Спробуй наживо
Опиши свій випадок використання, а модель допоможе попередньо оцінити рівень ризику та обов’язки — як відправну точку для розмови з юристом, а не замість неї (playground: PII маскується, нульова ретенція):
FAQ
#Чи має мій чат-бот повідомляти, що це бот?
Так. З серпня 2026 року AI Act вимагає прозорості для систем обмеженого ризику — користувач має знати, що спілкується з AI, а не з людиною. Наші асистенти представляються як AI та вміють передати розмову людині в будь-який момент.
Чим відрізняється AI Act від RODO?
#Це різні режими. RODO регулює обробку персональних даних (правова основа, права осіб, DPIA). AI Act регулює саму систему AI — класифікує її за рівнем ризику та додає технічну документацію, людський нагляд та журнали. Одне впровадження має відповідати обом, а не обирати один.
Коли потрібен DPIA при впровадженні AI?
#Коли обробка може спричинити високий ризик для прав осіб — зазвичай при профілюванні у великих масштабах, чутливих даних або автоматичних рішеннях щодо людей. Асистент, який лише відповідає на запитання з вашої бази знань, зазвичай не вимагає DPIA; система, яка профілює або ухвалює рішення — ймовірно, так.
Чи мають дані, оброблені AI, залишатися в Україні?
#Не обов’язково, але можуть — і часто повинні. Маскуємо PII перед відправкою в хмару, а чутливі шляхи обробляємо локально на власній інфраструктурі, тому чутливі дані можуть не залишати країну. Локалізацію обробки підбираємо під ваші вимоги RODO та конфіденційності.
Це юридична порада?
Ні. Це практичний посібник, як ми проектуємо технічну відповідність. Класифікацію ризику, DPIA та формальні обов’язки завжди підтверджуйте з юристом — ми проектуємо систему так, щоб цю відповідність можна було продемонструвати.