7 compliance-блоків: персональні дані, ChatGPT у промптах, deepfake реклама, чат-боти, email-автоматизація. EU AI Act серпень 2026 — що вже треба зробити.

Анастасія Кисленко · Digital-маркетолог · 6+ років, 120+ клієнтів

Це продовження серії про AI-регулювання — після правового контексту у статті 4.1. Тут — 30 операційних пунктів, які я особисто перевіряю кожному клієнту перед запуском AI у маркетингу. Більшість займає 10 хвилин і нічого не коштує. Деякі критичні до 2 серпня 2026, коли набирає чинності EU AI Act ст. 50. Решта — базова гігієна, яку варто мати незалежно від регулювання.

Я не юрист. Я фрілансер-маркетолог з 6+ роками і клієнтами в UA/UK/DE. Цей чек-лист — те що я особисто перевіряю в кожному AI-проекті. Для договорів іди до юриста; для операційної гігієни — почни звідси.

Якщо не читала правовий контекст у попередній статті — рекомендую почати з неї. Там: що таке EU AI Act, як він стосується українських маркетологів, і чому екстратериторіальний принцип означає що це вже твоя тема. А скільки бізнесів реально впроваджують AI у 2026 — у статті зі статистикою AI-впровадження.

Перш ніж починати — визнач свій scope

Не всі 30 пунктів однаково критичні для кожного. Перш ніж бігти по всьому списку — визнач рівень: чи є у тебе EU або UK клієнти або трафік? Скільки клієнтів? Який обсяг персональних даних обробляєш? Від відповіді залежить де твій реальний ризик.

Три питання, щоб знайти свій рівень:

  • Чи таргетую рекламу або маю органічний трафік із країн ЄС або Великої Британії?
  • Чи обробляю email-адреси, телефони або поведінкові дані більш ніж 500 людей на місяць?
  • Чи використовую AI у чат-ботах, email-автоматизації або генерації рекламних матеріалів?
Рівень 1
Базовий — 8 пунктів

UA-only клієнти, до 5 проектів, без EU/UK трафіку, без чат-ботів. Пункти 1, 2, 7, 11, 14, 16, 21, 25 — почни сьогодні.

Рівень 2
Стандартний — 15 пунктів

UA + EU contacts, email-автоматизація, чат-боти, AI-креативи для реклами. Базовий + блоки 2–5.

Рівень 3
Повний — 30 пунктів

Комерційний AI для EU/UK, deepfake-ризик, субпідрядники, audit-ready стек. Всі блоки + timeline.

Детальний правовий контекст кожного рівня — у статті про регулювання AI в Україні. Статистика по впровадженню AI у бізнесі — у матеріалі про AI-тренди 2026.

Блок 1 з 6

Контент-продакшн — пункти 1–5

П’ять питань, які стосуються кожного маркетолога — незалежно від масштабу. Контент-продакшн із AI має найменший поріг входу, але саме тут найбільше сірих зон: авторське право, згода на обличчя, disclosure для EU-аудиторії. Детально про маркування AI-контенту — у статті про C2PA і SynthID.

  1. Чи проходить AI-контент значне людське редагування перед публікацією? Без суттєвого людського вкладу авторське право на AI-генерований матеріал у більшості юрисдикцій або відсутнє, або слабкіше — ти втрачаєш захист результату своєї роботи.
  2. Чи є письмова згода реальної людини, якщо AI-зображення відтворює впізнаване обличчя? Стаття 307 Цивільного кодексу України захищає право на власне зображення — публікація без згоди є порушенням незалежно від того, чи зображення згенероване AI чи сфотографоване.
  3. Чи знаєш, які з твоїх AI-інструментів автоматично вбудовують C2PA-підпис у файл? Adobe Firefly і DALL-E 3 підписують автоматично — Midjourney і Stable Diffusion ні; незнання стану свого стеку означає що ти не можеш ані підтвердити авторство, ані закрити compliance-прогалину.
  4. Чи готова робити disclosure для EU-аудиторії з 2 серпня 2026? EU AI Act ст. 50 зобов’язує deployers (тих, хто використовує AI у бізнесі) повідомляти аудиторію про AI-генерований контент — якщо твоя реклама або контент показується в будь-якій країні ЄС, це стосується тебе.
  5. Чи не відтворює промпт конкретний захищений твір дослівно або поблизово? Стиль не захищається авторським правом — конкретний текст, мелодія або дизайн захищаються; “напиши у стилі X” — ОК, “відтвори перший абзац з книги X” — порушення.
Блок 2 з 6

Реклама — пункти 6–10

Рекламні платформи вже випередили регулятора в деяких вимогах. Meta з 2024-2025 розширює маркування AI-генерованих рекламних креативів (Made with AI / AI Info лейбли). TikTok має окремий toggle. Google — своя вимога для deepfake і виборчої реклами. Ігнорувати ці вимоги небезпечно не теоретично, а практично: заблокований акаунт або зупинена кампанія.

  1. Чи маркуєш AI-генеровані елементи у Meta Ads креативах? Meta вимагає позначок (Made with AI / AI Info) для реалістично змінених або повністю AI-згенерованих рекламних матеріалів — політика розширюється у 2024-2025; порушення може призвести до відхилення оголошення або обмеження акаунту.
  2. Чи не містить твоя реклама deepfakes реальних людей без їхньої письмової згоди? Заборонено і Meta, і Google, і TikTok окремими policy-документами — плюс ст. 307 ЦКУ для будь-якого впізнаваного зображення; штраф — блокування акаунту або судовий позов.
  3. Якщо запускаєш виборчу або реалістичну AI-людино рекламу в Google Ads — чи додаєш disclosure? Google вимагає чіткого розкриття для реклами, що містить синтетичні зображення або голоси реальних осіб, особливо у чутливих категоріях — без цього кампанія може бути зупинена.
  4. Чи перевіряєш ліцензію stock-зображення на дозвіл AI-editing для commercial use? Частина стандартних stock-ліцензій (Getty, iStock) не дозволяє AI-редагування або AI-трансформацію файлу — використання в рекламі може стати порушенням ліцензійного договору.
  5. На TikTok із AI-відео або AI-аудіо — чи вмикаєш toggle “AI-generated content”? TikTok автоматично зчитує C2PA з частини файлів і маркує сам — але для контенту без C2PA (наприклад, Midjourney або ElevenLabs) відповідальність за позначку на тобі; порушення призводить до видалення відео.
Блок 3 з 6

Дані клієнтів і AI-провайдери — пункти 11–15

Це найчастіша сліпа зона маркетолога-фрілансера. Коли ти вставляєш email-список або CRM-дані в промпт ChatGPT — ти передаєш персональні дані третій стороні. Без підписаного DPA (Data Processing Agreement) це порушення GDPR навіть якщо ти “просто попросив AI написати email”. Актуальний стан вимог — edpb.europa.eu.

  1. Чи підписаний DPA з OpenAI? DPA від OpenAI доступний самостійно для API, Team і Business-планів — для Free і Pro-акаунтів DPA не надається, що робить їх non-compliant для обробки персональних даних EU.
  2. Чи підписаний DPA з Anthropic? DPA від Anthropic доступний для Claude Team і вище через Commercial Terms — безкоштовний і Pro плани DPA не отримують і не покривають GDPR-вимоги щодо субпроцесора.
  3. Чи підписаний Cloud DPA з Google для Workspace або Vertex AI? Google Cloud DPA активується через Admin Console → Legal and compliance — без цього кроку обробка EU-даних через Google AI-сервіси формально без правової основи субпроцесора.
  4. Чи анонімізуєш або псевдонімізуєш персональні дані клієнтів перед передачею в LLM? Принцип data minimization (GDPR ст. 5) вимагає передавати тільки ті дані, без яких AI-задача не може бути виконана — замість “Іван Петренко, +380991234567” достатньо “клієнт Іван, сегмент B2B” для більшості контентних завдань.
  5. Чи відображений subprocessor chain у твоєму ROPA — записах обробки даних? Якщо ти обробляєш дані EU-суб’єктів, ти зобов’язаний вести Records of Processing Activities і вказувати в них всіх субпроцесорів — OpenAI, Anthropic, Google, ElevenLabs і будь-який інший AI-інструмент, який торкається персональних даних.

Не впевнений що у твоєму стеку всі DPA підписані і ROPA актуальний? Я роблю AI-compliance аудит за 1 день — напиши в бот: @adastra_assistant_bot

Блок 4 з 6

Чат-боти і автоматизація — пункти 16–20

Чат-бот — це AI-система у значенні EU AI Act, якщо вона взаємодіє з людьми у природному діалозі. З 2 серпня 2026 вимога повідомляти про AI при першому контакті стає обов’язковою для EU-аудиторії. Плюс GDPR окремо регулює автоматизовані рішення щодо людей.

  1. Чи повідомляє чат-бот при першому контакті, що користувач спілкується з AI, а не з людиною? EU AI Act ст. 50 з 2 серпня 2026 прямо вимагає disclosure для conversational AI-систем — навіть якщо бот виглядає “людяно”, перший меседж або footer повинен повідомляти що це AI.
  2. Чи є active opt-in (не попередньо відмічений чекбокс) перед збором email або телефону через форму в боті? GDPR і Закон України “Про захист персональних даних” вимагають явної активної згоди — pre-ticked checkbox або “продовжуючи спілкування ти погоджуєшся” не є дійсною згодою.
  3. Чи описаний кожен AI-інструмент у privacy policy — з назвою, провайдером і метою обробки? Privacy policy — це не формальність, а юридичний документ: якщо в ньому не вказаний ChatGPT або Anthropic як субпроцесор, ти обробляєш дані без правової бази — це порушення навіть якщо DPA підписаний.
  4. Якщо AI автоматично приймає рішення з правовими або суттєвими наслідками для людини (відмова, ціна, обмеження доступу) — чи є процедура human review? GDPR ст. 22 застосовується до рішень з правовими або similarly significant ефектами (кредит, працевлаштування, страхування) — типовий маркетинговий lead-scoring зазвичай не активує статтю, якщо рішення лише рекомендаційне і людина затверджує. Але якщо AI відсіває без перевірки — додай human review за запитом, щоб бути на безпечній стороні.
  5. Чи зберігаєш мінімально необхідний обсяг даних у CRM і видаляєш старі контакти за визначеним retention schedule? Принцип storage limitation (GDPR ст. 5) забороняє зберігати персональні дані довше, ніж потрібно для мети — безкінечний CRM з контактами 2019 року без активності є порушенням навіть якщо ти ніколи їм не пишеш.
Блок 5 з 6

Email, AI-копірайт і автоматизація — пункти 21–25

Email-маркетинг з AI — це де найчастіше передають персональні дані в LLM без розуміння наслідків. Вставити email-список у промпт для персоналізації = передати дані OpenAI або Anthropic без DPA і без згоди суб’єктів. Про AI-автоматизацію для малого бізнесу — у відповідній статті серії. Про AI в e-commerce і email — у матеріалі про Shopify і ChatGPT.

  1. Чи маєш explicit consent для email-маркетингу — не “погодився при реєстрації в ToS колись давно”? GDPR і CAN-SPAM вимагають чіткої згоди саме на маркетингові комунікації — загальна згода на ToS не є достатньою правовою основою для email-розсилки.
  2. Чи описаний кожен AI-інструмент у email-workflow (генерація, персоналізація, тестування тем) у privacy policy? Якщо ти використовуєш Klaviyo AI або Mailchimp Content Optimizer — вони є субпроцесорами у твоєму email-ланцюгу, і кожен повинен бути зазначений у privacy policy з метою обробки.
  3. Чи перевіряв GDPR-compliance свого email-провайдера — Mailchimp, Klaviyo, Brevo — перед інтеграцією нових AI-фіч? Провайдери регулярно додають AI-функції (predictive sending, AI-subject lines) — кожне нове оновлення може додавати нових субпроцесорів або змінювати умови передачі даних, тому compliance-перевірка потрібна при кожному значному оновленні стеку.
  4. Чи передаєш персональні дані клієнтів (імена, email, дані покупок) у промпт ChatGPT або Claude без анонімізації при генерації email? Навіть якщо ти “тільки просиш написати персоналізований email”, реальне ім’я і реальні дані покупки в промпті = передача персональних даних субпроцесору — без DPA і без законної підстави це порушення data minimization.
  5. Чи є working unsubscribe link у кожному автоматизованому email і чи він обробляється без ручного підтвердження? Працюючий unsubscribe — юридична вимога CAN-SPAM, CASL і GDPR; “надішли нам email якщо хочеш відписатись” не є достатнім — відписка має оброблятись автоматично і не пізніше 10 днів.
Блок 6 з 6

IP, прозорість і вендори — пункти 26–30

Останній блок — про те, що часто ігнорують до першого конфлікту: договори з клієнтами, ToS провайдерів, перевірка субпідрядників. Якщо ти делегуєш частину роботи іншому фрілансеру або агентству, їх compliance-прогалини стають твоїми. Маркування AI-контенту — детально у статті про C2PA і SynthID.

  1. Чи додаєш у договір з клієнтом clause про використання AI-інструментів при виконанні роботи? Без цього clause клієнт може оскаржити результат або затребувати перерозподіл прав на матеріали — disclosure у договорі захищає обидві сторони і знімає питання “а хто насправді автор цього креативу”.
  2. Чи відповідає твоє використання output ToS провайдера — наприклад, не тренуєш конкурентні моделі на output OpenAI і не використовуєш комерційно voice-клони в межах non-commercial ліцензії? Більшість LLM ToS забороняють використовувати output для тренування конкурентних моделей, а деякі голосові рішення мають non-commercial обмеження — порушення може призвести до блокування акаунту і претензій.
  3. Якщо реєструєш IP у США — чи розкриваєш AI-генеровані компоненти у copyright application? U.S. Copyright Office (USCO) у Part 2 Report (лютий 2025) вимагає розкривати AI-генеровані компоненти при реєстрації копірайту — приховування може анулювати реєстрацію. Український Закон 2811-IX аналогічно не охороняє чисто AI-генерований твір без значущої творчої участі людини.
  4. Чи перевіряла compliance posture AI-провайдера перед включенням у клієнтський стек: SOC 2, ISO 27001, sub-processors list, data residency? Коли AI-інструмент обробляє дані твоїх клієнтів — ти несеш відповідальність за вибір субпроцесора і маєш показати що провів належну перевірку (due diligence); enterprise-клієнти регулярно запитують цю документацію.
  5. Чи перевіряєш AI-фрілансерів і субпідрядників: чи мають вони власні DPA з провайдерами і розуміють compliance-вимоги? Якщо ти залучаєш субпідрядника для AI-контенту або автоматизації і він передає дані в LLM без DPA — за GDPR відповідаєш ти як controller, а не він; перевірка compliance у ланцюгу субпідрядників — твоя зона відповідальності.

Швидкий summary — 30 пунктів за пріоритетом

Не обов’язково робити все одночасно. Ось розбивка за рівнем терміновості — від “зроби сьогодні” до “раз на квартал”.

Базовий — зроби сьогодні
  • Пункт 1 — редагування AI-контенту
  • Пункт 2 — згода на обличчя
  • Пункт 7 — deepfakes у рекламі
  • Пункт 11 — DPA з OpenAI
  • Пункт 14 — анонімізація даних
  • Пункт 16 — бот повідомляє про AI
  • Пункт 21 — explicit consent для email
  • Пункт 25 — unsubscribe link
До 2 серпня 2026 (EU AI Act)
  • Пункт 4 — disclosure для EU-аудиторії
  • Пункт 6 — маркування в Meta Ads
  • Пункт 16 — disclosure у чат-боті
  • Пункт 18 — AI у privacy policy
  • Пункт 26 — AI clause у договорі
Ongoing — раз на квартал
  • Пункти 11–15 — DPA і subprocessors
  • Пункт 23 — compliance email-провайдера
  • Пункт 29 — compliance posture вендорів
  • Пункт 30 — перевірка субпідрядників
# Пункт Блок Пріоритет
1Людське редагування AI-контентуКонтентСьогодні
2Згода на AI-зображення з обличчямиКонтентСьогодні
3Аудит C2PA у своєму стекуКонтентЦього тижня
4Disclosure для EU з 02.08.2026КонтентДо серпня 2026
5Перевірка промптів на копіювання творівКонтентСьогодні
6Маркування AI у Meta AdsРекламаДо серпня 2026
7Заборона deepfakes без згодиРекламаСьогодні
8Disclosure для AI-людино реклами в GoogleРекламаЦього тижня
9Ліцензія stock на AI-editingРекламаЦього тижня
10TikTok AI-toggle для відео/аудіоРекламаЦього тижня
11DPA з OpenAIДані + AIСьогодні
12DPA з AnthropicДані + AIЦього тижня
13Cloud DPA з GoogleДані + AIЦього тижня
14Анонімізація перед LLMДані + AIСьогодні
15Subprocessors у ROPAДані + AIЦього місяця
16Бот повідомляє що він AIЧат-ботиДо серпня 2026
17Active opt-in у формі ботаЧат-ботиЦього тижня
18AI у privacy policyЧат-ботиДо серпня 2026
19Human review для AI-скорингу лідівЧат-ботиЦього місяця
20Data retention у CRMЧат-ботиЦього місяця
21Explicit consent для emailEmailСьогодні
22AI email-workflow у privacy policyEmailЦього місяця
23GDPR-compliance email-провайдераEmailРаз на квартал
24Анонімізація в email-промптахEmailСьогодні
25Unsubscribe у кожному emailEmailСьогодні
26AI clause у договорі з клієнтомIP + вендориДо серпня 2026
27Відповідність ToS провайдераIP + вендориЦього тижня
28AI disclosure у USCO copyright applicationIP + вендориПри реєстрації
29SOC 2 / ISO 27001 вендораIP + вендориРаз на квартал
30Compliance у субпідрядниківIP + вендориПри залученні

Часті питання

Базові 8 пунктів: перевір редагування AI-контенту (1), згоду на обличчя в зображеннях (2), заборону deepfakes (7), DPA з OpenAI якщо використовуєш ChatGPT для клієнтських даних (11), анонімізацію в промптах (14), disclosure у чат-боті якщо є (16), explicit consent для email (21) і unsubscribe link (25). Це займає від 2 годин до одного дня і закриває найбільш вірогідні ризики навіть без EU-трафіку.

Можна пропустити блоки, що прямо стосуються EU AI Act ст. 50 і GDPR — якщо ти впевнений що жоден твій контент і жодна твоя реклама не досягає EU-аудиторії. Але пункти 1, 2, 5, 7, 14, 21, 24, 25 залишаються актуальними незалежно від географії — це базова операційна гігієна і питання українського законодавства (ЦКУ ст. 307, Закон про захист персональних даних). Плюс варто пам’ятати: Meta і Google Ads можуть показувати рекламу EU-аудиторії навіть якщо ти не таргетуєш ЄС явно, якщо в налаштуваннях є автоматичне розширення аудиторії.

Більшість пунктів безкоштовні — це зміна в робочому процесі, а не покупка інструментів. DPA з OpenAI, Anthropic і Google — підписуються безкоштовно в акаунті. Анонімізація в промптах — це звичка, не програма. Disclosure у чат-боті — рядок тексту. Реальні витрати виникають тільки якщо ти переходиш з Free-плану на Team (OpenAI, Anthropic) для DPA — але це виправдано якщо ти обробляєш реальні клієнтські дані. Оновлення privacy policy і договорів може потребувати юриста — але це разова робота, а не ongoing витрата.

До 2 серпня 2026 — пункти 4, 6, 16, 18, 26: disclosure для EU-аудиторії у контенті і рекламі, маркування у Meta Ads, повідомлення в чат-боті що це AI, оновлення privacy policy, AI clause у договорах. Після серпня — ці вимоги стануть юридично обов’язковими з штрафами. Але важливо: фінальний Code of Practice до EU AI Act ст. 50 ще не затверджений на момент публікації цієї статті — конкретні імплементаційні деталі можуть змінитись. Слід за офіційним статусом.

Мінімальний чеклист для субпідрядника: чи підписаний DPA з AI-провайдерами яких вони використовують; чи анонімізують вони персональні дані клієнтів перед промптами; чи є у них privacy policy де вказані AI-інструменти; чи знають вони про EU AI Act ст. 50 якщо ти їм даєш EU-проекти. Якщо субпідрядник каже “це не моя тема, я просто пишу тексти” — це червоний прапор. Питання можна задавати прямо перед залученням — адекватний виконавець відповість спокійно і конкретно.

Хочеш не пропустити наступну статтю серії і апдейти по EU AI Act — додай Telegram-канал @adastra_marketing_blog.

30-пунктний AI-чек-лист маркетолога — PDF

PDF «AI-чек-лист маркетолога: 30 пунктів, щоб використовувати AI без ризику» — 6 розділів: Scope і рівні, Провайдери + DPA, Дані клієнтів, Контент + Disclosure, Субпідрядники, Timeline + Пріоритети. Формат: один пункт — одне питання — одне why. Роздрукуй і перевір свій стек за 30 хвилин.

Завантажити чек-лист у Telegram →

Дисклеймер. Цей чек-лист — операційна гігієна, не правова консультація. Закони і їх інтерпретації змінюються: фінальний Code of Practice до EU AI Act ст. 50 ще не затверджений на момент публікації. Для договорів, claim management і ситуацій з юридичними наслідками — юрист зі спеціалізацією на IT/IP/data protection. Правовий контекст — у статті про регулювання AI в Україні.