Огляд регулювання AI в Україні 2026: EU AI Act, авторське право AI-контенту, GDPR, маркування реклами, чат-боти і 5 кроків для SMB вже сьогодні. Без юридичного жаргону.
Єдиного закону про AI в Україні немає — але правила вже є, і вони стосуються твого бізнесу прямо зараз. Авторське право на AI-контент, захист персональних даних, EU AI Act, маркування реклами — всі ці норми або вже чинні, або набирають силу у 2026 році. Ця стаття пояснює ключові точки без юридичного жаргону: що застосовується до малого і середнього бізнесу в Україні, які ризики найчастіші, і що треба зробити вже сьогодні. AI вже використовує більшість малих бізнесів — але більшість із них не знають, де закінчується зручність і починається відповідальність.
Я не юрист. Але я щодня впроваджую AI клієнтам — і бачила, де бізнес потрапляє в проблеми: невірно підписані DPA з провайдерами, AI-чат-боти без disclosure, чужі зображення у рекламних креативах. Ця стаття покаже тобі загальну картину. Для конкретних договорів і правових позицій — іди до юриста.
Де зараз Україна — єдиного закону про AI ще немає
В Україні немає окремого закону про штучний інтелект. Є концепція і є політичний документ — але жодних обов’язкових норм вони не створюють.
У 2020 році Кабінет Міністрів затвердив Концепцію розвитку штучного інтелекту в Україні. Це рамковий рекомендаційний документ — він визначає напрям державної політики, але не накладає жодних зобов’язань на бізнес.
У жовтні 2023 року Міністерство цифрової трансформації презентувало «Білу книгу з регулювання штучного інтелекту», оновлену у червні 2024 року. Це policy-документ (тобто документ державної політики), а не закон. Він описує підходи до майбутнього регулювання і запрошує до обговорення. Жодних обов’язкових норм для бізнесу Біла книга не встановлює.
Підхід, який обрала Україна, — bottom-up: спочатку добровільні кодекси і регуляторні пісочниці (sandbox — тестові середовища для AI-продуктів без повного регуляторного навантаження), потім — обов’язкові норми. Це свідомий вибір не поспішати з жорстким регулюванням, поки технологія розвивається.
Що це означає для тебе прямо зараз: спеціального «AI-закону», який би регулював, як ти використовуєш ChatGPT чи Midjourney у бізнесі, в Україні немає. Але це не означає правовий вакуум — авторське право, захист персональних даних і закон про рекламу вже існують і вже застосовуються до AI-контенту та AI-інструментів.
EU AI Act — чи стосується це мого бізнесу
EU AI Act — перший у світі комплексний закон про регулювання AI — набирає чинності поетапно з 2025 по 2027 рік. Для українського бізнесу він може бути релевантним, навіть якщо ти не зареєстрований в ЄС.
Ось хронологія ключових дат за офіційним таймлайном EU AI Act:
- 2 лютого 2025 — вже діє: заборони на 8 категорій AI (наприклад, соціальний скоринг громадян, маніпулятивні системи, більшість систем біометричної категоризації) + обов’язок AI literacy для персоналу, що працює з AI.
- 2 серпня 2025 — вже діє: обов’язки для GPAI (General Purpose AI) провайдерів — тобто для компаній, що розробляють і розповсюджують моделі типу GPT-4.
- 2 серпня 2026 — буде: норми для high-risk AI систем (медицина, фінанси, освіта, зайнятість, критична інфраструктура).
- 2 серпня 2027: перехідний термін для GPAI систем, що існували до серпня 2025.
Тепер ключове: стаття 2 EU AI Act має екстериторіальний ефект (тобто діє за межами ЄС). Закон стосується тебе, якщо:
- output (результат) твоєї AI-системи використовується на ринку ЄС, АБО
- ти постачаєш AI-системи або AI-сервіси клієнтам в ЄС.
Важливо розрізняти дві ролі. Provider — компанія, яка будує і розповсюджує AI-продукт (наприклад, розробляє свій чат-бот і продає підписки). Deployer — компанія, яка використовує готову AI-систему у своєму бізнесі (наприклад, використовує ChatGPT для написання текстів або ManyChat для автоматизації Telegram). Обов’язки deployer за EU AI Act значно менші, ніж обов’язки provider.
Якщо ти — малий бізнес суто в Україні без ЄС-трафіку і ЄС-клієнтів — EU AI Act прямо не застосовується. Але через Terms of Service провайдерів (OpenAI, Google, Anthropic) частина норм фільтрується опосередковано: провайдери самі дотримуються Act і включають відповідні вимоги у свої угоди з користувачами.
Чому варто звертати увагу. EU AI Act передбачає високі штрафи за порушення — за заборонені практики до €35 млн або 7% світового річного обороту, за порушення обов’язків провайдерів і deployer-ів — до €15 млн або 3%. Для GDPR (обробка персональних даних) — до €20 млн або 4%. Це не суми, які зазвичай застосовуються до малих українських бізнесів першими — але штрафи нараховуються з моменту порушення, а не з моменту претензії, тому базовий комплаєнс — це не «коли прийдуть з перевіркою», а «постійно».
Council of Europe Framework Convention on AI — Україна підписала
15 травня 2025 року Україна підписала Рамкову конвенцію Ради Європи зі штучного інтелекту, прав людини, демократії та верховенства права. Це важливий сигнал, але прямих зобов’язань для бізнесу поки немає.
Підпис поставив Олексій Борняков (тодішній Міністр цифрової трансформації) у Страсбурзі. Деталі на сайті IT Ukraine.
Станом на квітень 2026 року Конвенція не ратифікована Верховною Радою. До ратифікації — для бізнесу прямих зобов’язань немає. Підпис підтверджує намір, але не створює норм.
Після ратифікації Конвенція вплине на бізнес непрямо — через зміни у внутрішньому законодавстві України, які уряд буде зобов’язаний прийняти для виконання взятих зобов’язань. Це означає: нові закони про AI в Україні — це питання часу, а не гіпотетична можливість.
Практичний висновок: те, що ти робиш зараз із AI, буде в полі регулювання. Краще будувати процеси правильно одразу, ніж потім переробляти під нові норми.
Авторське право AI-контенту — хто власник того, що згенерував ChatGPT
За українським законом, автором може бути тільки людина. AI-генерований контент без творчої участі людини не охороняється класичним авторським правом — але захист через інший механізм все одно існує.
Закон 2811-IX «Про авторське право і суміжні права» чинний з 1 грудня 2022 року. Він підтвердив базовий принцип: автором може бути виключно фізична особа — людина. AI не є суб’єктом права, отже і автором бути не може.
Якщо ChatGPT згенерував текст, а Midjourney — зображення без значущої творчої участі людини, цей об’єкт не охороняється класичним авторським правом. Теоретично його може використати будь-хто.
Той самий закон передбачає окремий режим захисту нео́ригінальних об’єктів, згенерованих комп’ютерною програмою — так званий sui generis (латиною «свого роду», окремий вид захисту). Це не авторське право у класичному значенні, а захист «зусиль і ресурсів». Як саме розподіляються права між користувачем AI-сервісу і самим провайдером — питання договору з провайдером (ToS) і ліцензії на комп’ютерну програму. Конкретну схему для свого випадку підтверджуй з юристом.
Щодо ToS провайдерів: OpenAI, Anthropic і Google у своїх угодах передають права на output (результат генерації) користувачу. Але договірна передача прав від провайдера — це не те саме, що повноцінна юридична охорона авторським правом, і вона має свої межі (наприклад, заборону тренувати конкурентні моделі на цьому output).
Практичний висновок: додавай людську творчу участь до AI-контенту — редагуй, доопрацьовуй, поєднуй із власними ідеями і структурою. Тоді у тебе виникає звичайне авторське право на похідний твір, з повноцінним захистом. Чистий AI-output без людської участі — режим слабший: коротший термін охорони (25 років за нео́ригінальні об’єкти проти 70 років після смерті автора у класичному авторстві) і немає немайнових прав.
Персональні дані + AI — найбільша сліпа пляма SMB
Чинний закон про захист персональних даних застарів на 15 років. Новий законопроект, що наближає Україну до GDPR, ще не прийнятий. Але якщо ти таргетуєш аудиторію в ЄС — GDPR вже застосовується до тебе прямо зараз.
Чинний Закон № 2297-VI від 2010 року критично відстає від реальності AI-обробки даних. Він не враховує профілювання, автоматизовані рішення і сучасні AI-інструменти.
Законопроект 8153 — новий закон про персональні дані, що наближає Україну до GDPR (загальний регламент ЄС про захист даних). Перше читання відбулося 20 листопада 2024 року. Станом на квітень 2026 року друге читання не проведено — документ на доопрацюванні. Коли він набере чинності, бізнес найімовірніше буде зобов’язаний: розкривати логіку автоматизованих рішень, які стосуються людей, забезпечити людський нагляд за рішеннями з правовими наслідками, проводити impact assessments (оцінку ризиків) для ризикованої обробки.
Але GDPR вже застосовується до тебе, якщо виконується хоча б одна умова:
- Ти таргетуєш аудиторію у ЄС — пропонуєш товари або послуги особам у ЄС (мова сайту, валюта, доставка, реклама на ЄС-ринок).
- Ти систематично відстежуєш поведінку осіб у ЄС — наприклад, ремаркетинг через Google Analytics або Meta Pixel на ЄС-аудиторію.
Випадковий трафік з ЄС-IP без явного targeting сам по собі не активує GDPR — ключовий тест саме спрямованість на ЄС-аудиторію.
Мінімум, що варто оформити кожному SMB, який використовує AI з даними клієнтів:
- DPA (Data Processing Agreement, угода про обробку даних) з AI-провайдером, якщо у тебе є ЄС-аудиторія. У OpenAI DPA доступний як self-serve у налаштуваннях акаунту. У Google (Workspace, Vertex AI) — залежить від продукту і часто оформлюється через підтримку. У Anthropic — через sales/support для commercial tier, не клік-в-один-екран.
- ROPA (Records of Processing Activities, реєстр операцій з обробки) при ризикованій обробці — якщо ти передаєш значні обсяги персональних даних у AI.
- Consent (явна згода, opt-in) перед збором email, телефону та інших даних. Не pre-ticked — активний вибір.
- Privacy policy з переліком AI-інструментів, які ти використовуєш і які обробляють дані клієнтів.
Якщо ти будуєш AI-агенти в e-commerce або автоматизовані воронки з обробкою персональних даних — це та сфера, де варто перестрахуватися заздалегідь. Напиши мені в Telegram — подивлюся очима маркетолога на UX твоїх форм згоди і чат-ботів: де очевидні дірки у тому, як збирається згода і як показується інформація про AI. Це не юридичний аудит — для договорів і claim management потрібен юрист.
AI-чат-боти і автоматизація — твоя відповідальність як data controller
Найпоширеніший міф: «ChatGPT або ManyChat відповідає за дані — я ж просто користуюсь їхнім сервісом.» Це не так. Ти — data controller (контролер даних), провайдер — processor (обробник). Відповідальність на тобі.
Data controller — це той, хто визначає цілі і способи обробки персональних даних. Якщо ти збираєш email у чат-боті, ставиш запитання і передаєш відповіді в ChatGPT для аналізу — ти вирішуєш, навіщо і як обробляються ці дані. Провайдер виконує технічну роботу, але мета і відповідальність — твоя.
Три мінімальні вимоги для будь-якого AI-чат-бота:
- Повідомлення, що це AI, а не людина. EU AI Act стаття 50 з 2 серпня 2026 зробить це обов’язковим для ЄС-аудиторії. Але навіть без закону це базовий стандарт чесності з клієнтом.
- Privacy policy з описом: які дані збирає бот, куди вони передаються, скільки зберігаються.
- Opt-in (явна згода) перед збором контактів — email, телефону, будь-яких ідентифікаторів. Не «продовжуючи діалог ти погоджуєшся» — а чітка активна дія.
Якщо ти зараз впроваджуєш AI-автоматизацію для малого бізнесу — перевір ці три пункти для кожного інструменту, через який проходять дані клієнтів. Детальніше про налаштування автоматизації — в розділі AI-автоматизації на сторінці послуг.
AI у рекламі — маркування і deepfakes
Спеціальних вимог до маркування AI-генерованої реклами в українському законі про рекламу поки немає. Але deepfakes реальних людей без їхньої згоди — це вже порушення Цивільного кодексу, незалежно від стану будь-якого нового законопроекту.
Закон «Про рекламу» (270/96-ВР) наразі не містить спеціальних норм щодо AI-генерованих креативів. Тобто технічно маркувати «цей банер зробив AI» в Україні поки не зобов’язані.
Але є два важливі застереження.
Перше — deepfakes. У Верховній Раді є зареєстрований законопроект, який має заборонити використання deepfakes реальних людей у рекламі без їхньої згоди (точний номер і стадію проходження варто перевірити на сайті ВРУ перед посиланням у договорі). Але чекати цього закону не треба: стаття 307 Цивільного кодексу вже зараз захищає право людини на своє зображення. Використати чуже обличчя у рекламі без згоди — порушення, незалежно від того, зробила це людина чи AI.
Друге — EU AI Act стаття 50. З 2 серпня 2026 року маркування синтетичного AI-контенту набирає чинності для ЄС-ринку. Стаття 50 вимагає машиночитного маркування синтетичного аудіо, відео, зображень і тексту — з винятками для асистивного редагування, художнього використання та інших спеціальних випадків. Точний обсяг винятків визначатиметься окремими implementing acts. Якщо ти запускаєш рекламу на аудиторію в ЄС — маркування AI-генерованих зображень і відео найімовірніше стосуватиметься тебе.
Рекламні платформи вже рухаються в цьому напрямку самостійно. Meta вимагає disclosure (розкриття) для AI-альтерованого політичного і соціального контенту. Google Ads має аналогічні вимоги для виборчої реклами. Це платформні правила, що вже діють — незалежно від локального законодавства.
Практичне правило для реклами: не використовуй зображення реальних людей, створені або змінені AI, без їхньої явної письмової згоди. Це стосується і стоку, і deepfake-відео, і AI-«покращених» фото клієнтів.
Що зробити прямо сьогодні — 5 кроків для SMB
Регулювання AI ще формується, але п’ять кроків можна зробити вже зараз — і вони закриють найбільші ризики для малого і середнього бізнесу в Україні.
- Підпиши DPA з AI-провайдерами. Якщо ти таргетуєш ЄС-аудиторію — це обов’язково. У OpenAI DPA self-serve у налаштуваннях акаунту. У Google (Workspace, Vertex AI) і Anthropic — частіше через підтримку або enterprise-канал. Це закриває базове GDPR-зобов’язання щодо передачі даних AI-провайдеру.
- Не запроваджуй заборонені практики EU AI Act. Для ЄС-ринку вже з 2 лютого 2025 року заборонені: розпізнавання емоцій у співробітників на робочому місці, соціальний скоринг клієнтів, більшість форм біометричної категоризації без явного дозволу. Якщо ти планував щось із цього — це вже не варіант для ЄС-аудиторії.
- Додай transparency у свої AI-чат-боти. Три речі: повідомлення «ти спілкуєшся з AI», privacy policy з переліком AI-інструментів, opt-in перед збором контактів. Це займає годину на налаштування і знімає основні ризики.
- Не використовуй deepfakes реальних людей у рекламі без згоди. Стаття 307 ЦК захищає право на зображення вже зараз — окремий профільний закон лише посилить це. Правило просте: чуже обличчя у рекламному матеріалі — тільки з письмовою згодою тієї людини.
- Слідкуй за двома точками змін. Законопроект 8153 (нові вимоги до обробки персональних даних, GDPR-наближення) і EU AI Act стаття 50 (маркування синтетичного AI-контенту для ЄС з 2 серпня 2026) — це два місця, де у тебе з’являться нові обов’язки найближчим часом. Щоб бути готовим заздалегідь — почни зі структурованих даних для AI-видимості і стеж за оновленнями у блозі.
Дисклеймер: ця стаття — освітній огляд для маркетологів і власників бізнесу, не правова консультація. Закони і їх трактування змінюються; станом на 28 квітня 2026 року посилання та статуси законопроектів актуальні. Перед прийняттям рішень, які несуть правові наслідки (договори, заяви до регуляторів, відмова від зобов’язань) — звертайся до юриста, що спеціалізується на IT/IP/data protection.
Перевір свій бізнес за 20 хвилин — безкоштовний чек-ліст
PDF «AI в бізнесі: чек-ліст правових ризиків для малого бізнесу» — 5 розділів: контент і авторство, дані і GDPR, чат-боти і disclosure, роль у EU AI Act (provider чи deployer), коли потрібен юрист. Без юридичного жаргону — конкретні питання і дії.
Завантажити чек-ліст у Telegram →Часті питання
Окремого закону про AI в Україні немає. Є Концепція розвитку штучного інтелекту (2020, рекомендаційна) і «Біла книга з регулювання штучного інтелекту» Міністерства цифрової трансформації (жовтень 2023, оновлена червень 2024) — але це policy-документ, не закон. Жодних обов’язкових норм для бізнесу ці документи не встановлюють. AI-діяльність регулюється чинним законодавством: авторським правом, законом про персональні дані і законом про рекламу.
Залежить від того, чи є у тебе ЄС-клієнти або ЄС-трафік. Стаття 2 EU AI Act має екстериторіальний ефект: якщо результат твоєї AI-системи використовується в ЄС або ти постачаєш AI-рішення клієнтам у ЄС — Act застосовується. Якщо ти лише використовуєш ChatGPT або інші AI-інструменти для внутрішніх завдань і твоя аудиторія виключно в Україні — прямо не застосовується, але правила провайдерів (OpenAI, Google, Anthropic) все одно фільтрують частину вимог через ToS.
За Законом 2811-IX «Про авторське право» (чинний з 01.12.2022) автором може бути тільки людина. AI не є суб’єктом права і не може бути автором. Чистий AI-контент без творчої участі людини не охороняється класичним авторським правом. Водночас закон передбачає захист sui generis — майнові права на AI-об’єкт належать особі, яка організувала генерацію (бізнесу або розробнику промпту). Щоб мати повноцінне авторство — редагуй і доопрацьовуй AI-контент, додавай власну творчу участь.
В Україні поки немає обов’язкового маркування AI-генерованих рекламних матеріалів. EU AI Act стаття 50 з 2 серпня 2026 вводить обов’язкове маркування AI-контенту для ЄС-ринку. Якщо ти запускаєш рекламу на аудиторію у ЄС — готуйся до цього. Meta і Google вже мають власні правила disclosure для AI-альтерованого контенту у певних категоріях. Deepfakes реальних людей без їхньої згоди — вже порушення статті 307 ЦК України незалежно від інших законів.
Технічно можна, але з правильно оформленими документами. Якщо є ЄС-клієнти або ЄС-трафік — потрібен підписаний DPA (Data Processing Agreement) з OpenAI. Він доступний у налаштуваннях акаунту. Також потрібна privacy policy, де прописано передачу даних AI-інструментам, і згода (opt-in) від клієнтів на обробку. Якщо ти передаєш у ChatGPT знеособлені дані без можливості ідентифікувати конкретну людину — ризик значно нижчий.
Регуляторна пісочниця (sandbox) — це тестове середовище, де компанії можуть розробляти і тестувати AI-продукти під наглядом регулятора, без повного навантаження законодавчих вимог. Мінцифри у «Білій книзі» описує sandbox як один із перших кроків до регулювання AI в Україні. Це інструмент для стартапів і компаній, що будують власні AI-системи, а не для малого бізнесу, що використовує готові AI-інструменти.
Точних строків немає. Підписана у травні 2025 року Рамкова конвенція Ради Європи з AI ще не ратифікована Верховною Радою. Законопроект 8153 про персональні дані (GDPR-наближення) пройшов перше читання у листопаді 2024, але друге читання ще не відбулося. Обраний підхід bottom-up — спочатку добровільні кодекси, потім обов’язкові норми — говорить про те, що комплексний AI-закон за зразком EU AI Act з’явиться не раніше 2027-2028 років. Але окремі норми (персональні дані, deepfakes) будуть прийняті раніше.
П’ять кроків без зайвого: підписати DPA з AI-провайдерами якщо є ЄС-аудиторія, не запроваджувати заборонені EU AI Act практики для ЄС-ринку, додати transparency у чат-боти (повідомлення про AI, privacy policy, opt-in), не використовувати deepfakes реальних людей без їхньої письмової згоди, стежити за законопроектом 8153 і EU AI Act статтею 50 (серпень 2026) — це дві найближчі точки, де з’являться нові обов’язки. Детальний чек-ліст — у безкоштовному PDF нижче.
Коментарі
Обговорити в Telegram