Практический чеклист соответствия: EU AI Act + GDPR для цифровых издателей #
Дата исследования: 25 февраля 2026 Целевая аудитория: Малые цифровые издатели, создатели контента, opensource-разработчики, использующие AI-инструменты Область применения: Соответствие EU AI Act + GDPR
Введение #
Этот чеклист предоставляет практичное руководство для малых цифровых издателей, использующих коммерческие AI-инструменты для создания контента. Области фокуса:
- Немедленные действия (до следующего деплоя)
- Краткосрочные задачи (3 месяца)
- Среднесрочная подготовка (12 месяцев)
- Постоянные требования к compliance
Ключевая временная шкала:
- Сейчас: Privacy Policy, дисклеймеры, базовое GDPR-соответствие
- До 2 августа 2026: Обязательства по прозрачности Article 50 (маркировка AI-контента)
- Постоянно: Документация редакторского контроля, мониторинг регуляторных изменений
1. Немедленные действия (сделать СЕЙЧАС) #
Срок: До следующего релиза/деплоя
1.1 Политика конфиденциальности (Privacy Policy) #
Обязательна для соответствия GDPR (Articles 13-14).
- Создать Privacy Policy на каждом сайте (португальская + английская версии)
- Указать контроллера данных (имя, адрес, email, NIF если компания)
- Перечислить все типы собираемых данных:
- Система аутентификации: email, username, хеш пароля, IP при логине, session tokens
- Аналитика (если self-hosted как Umami): анонимизированные данные посещений (без cookies, без PII)
- Платежи/донаты (если Ko-fi): обработка третьей стороной, ссылка на их Privacy Policy
- Контактные формы (если есть): email, имя, содержание сообщения
- Указать правовое основание обработки (Art. 6 GDPR):
- Аутентификация: согласие или исполнение договора
- Аналитика: законный интерес — анализ трафика
- Донаты: согласие или исполнение договора
- Описать права субъектов данных (Art. 15-22 GDPR):
- Право на доступ, исправление, удаление, переносимость
- Право на возражение, ограничение обработки
- Право отозвать согласие
- Право на жалобу в CNPD (Португалия) или локальный DPA
- Указать сроки хранения данных
- Указать международные передачи данных (если применимо):
- AI API → США (если PII в промптах)
- Платформа донатов → Великобритания/США
- Предоставить контакт для вопросов о защите данных
- Дата последнего обновления на видном месте
Структура шаблона: См. Приложение A
1.2 Cookie Policy / Баннер #
- Self-hosted аналитика (Umami, etc.) без cookies: Баннер согласия на cookies НЕ ТРЕБУЕТСЯ
- Однако: если используются другие cookies (session cookies), нужен cookie notice
- Session cookies аутентификации: Это “strictly necessary” cookies
- Strictly necessary cookies: баннер согласия не требуется по ePrivacy Directive
- Но необходимо упомянуть в Cookie Policy
- Создать Cookie Policy с перечислением:
- Session cookie: название, длительность, назначение
- Отсутствие маркетинговых/аналитических cookies
1.3 Условия использования (Terms of Use) #
- Создать Terms of Use для каждого сайта
- Включить:
- Описание сервиса
- Условия использования контента (ссылка на лицензию: CC BY-SA / CC BY)
- Дисклеймер: контент информационного характера, не заменяет профессиональные советы
- Специальный дисклеймер для чувствительного контента (идентификация грибов, медицинские советы и т.д.)
- Правила использования аккаунта (для защищённых ресурсов)
- Ограничение ответственности
- Применимое право: Португалия / ЕС
- Разрешение споров
Ключевой дисклеймер для энциклопедий: “Этот контент предоставляется исключительно в информационных целях. Для критических решений (здоровье, безопасность, юридические вопросы) всегда консультируйтесь с квалифицированными профессионалами.”
1.4 Раскрытие использования AI #
Важно: Согласно исключению Article 50(4) editorial control, формальная маркировка “AI-generated” юридически не обязательна, ЕСЛИ контент прошёл документированную человеческую рецензию с редакторской ответственностью. Однако добровольное раскрытие является лучшей практикой.
-
Вариант A (Рекомендуемый): Раздел “Методология” на каждом сайте энциклопедии
- Описать процесс создания контента: исследование, написание, верификация, редактирование
- Упомянуть использование различных инструментов и технологий для подготовки контента
- Подчеркнуть роль редакторского контроля и верификации
- Указать, кто несёт редакторскую ответственность
-
Вариант B (Минимальный): Упоминание в footer или страницу About
- Краткое указание на использование автоматизированных инструментов при подготовке контента
- Ссылка на полную методологию
-
Для каждой статьи:
- Поле
status(verified/unverified) — во frontmatter - Поле
confidence(high/medium/low) — во frontmatter - Поле
sources[]— во frontmatter - Добавить: Поле
reviewed_byилиeditor+review_dateво frontmatter (документирует editorial control)
- Поле
1.5 Базовые шаги GDPR #
-
Реестр обработки данных (Records of Processing Activities, ROPA):
- Создать внутренний документ (не публикуется)
- Для каждой обработки: цель, категории данных, получатели, сроки хранения, меры защиты
- Обязателен по Art. 30 GDPR (исключение для <250 сотрудников не применяется, если обработка не эпизодическая)
-
Соглашения об обработке данных (Data Processing Agreements, DPA):
- Платформа донатов: проверить DPA в их Terms
- Провайдер AI API: проверить DPA/Terms of Service — не отправлять PII пользователей через API
- VPS-провайдер: проверить DPA
-
Система аутентификации — настройки GDPR:
- Включить механизм удаления аккаунта (user self-service)
- Включить возможность экспорта данных
- Настроить consent flow при регистрации
- Настроить Terms & Conditions flow
- Проверить сроки хранения сессий и логов
- Зашифровать данные в rest (база данных)
-
Контакт для защиты данных:
- Назначить контактный email для запросов субъектов данных
- DPO формально не требуется (индивидуал/малый бизнес, не основная деятельность по обработке данных)
- Но контактное лицо обязательно
1.6 Базовый уровень безопасности #
- HTTPS на всех сайтах (если используется nginx + Let’s Encrypt, уже покрыто)
- Обновление Docker-контейнеров (аутентификация, аналитика, site builder)
- Сильные пароли VPS, SSH ключи
- Резервные копии базы данных (содержит PII, если система аутентификации)
- Логирование доступа
2. Краткосрочные действия (в течение 3 месяцев) #
Срок: До мая 2026
2.1 Подготовка к EU AI Act (Article 50 вступает в силу 2 августа 2026) #
-
Документировать редакторский процесс (Editorial Workflow):
- Создать внутренний документ, описывающий процесс создания статей для каждой темы
- Зафиксировать: кто генерирует, кто верифицирует, кто утверждает к публикации
- Назначить ответственного редактора (editorial responsibility) — индивидуал или компания
- Вести журнал рецензирования: дата, рецензент, что проверено
- Это ключевое условие для применения исключения Article 50(4)
-
Подготовить систему маркировки (если исключение не применяется):
- Machine-readable метаданные:
<meta name="content-origin" content="ai-assisted, human-reviewed"> - Или schema.org разметка:
"creativeWorkStatus": "AI-assisted" - Мониторить финализацию Code of Practice (ожидается июнь 2026)
- Machine-readable метаданные:
-
Провести AI literacy training (Art. 4 — уже в силе с 2 февраля 2025):
- Обязанность обеспечить достаточный уровень AI-грамотности персонала
- Для индивидуала: документировать собственные знания и опыт работы с AI
- Создать внутренний документ: какие AI-системы используются, как, для чего
-
Классифицировать все используемые AI-системы:
- AI API для генерации контента: провайдер, версия, назначение, категория риска
- AI API для ассистирования разработке кода
- Другие AI-инструменты (если есть)
2.2 DPIA (Data Protection Impact Assessment) #
-
Оценить необходимость DPIA:
- DPIA обязателен, если обработка “вероятно приведёт к высокому риску” (Art. 35 GDPR)
- Для текущих мелкомасштабных операций: DPIA формально не обязателен, но рекомендуется
- Аутентификация с пользовательскими данными: провести мини-DPIA
- Энциклопедии без PII: DPIA не нужен
-
Создать упрощённый DPIA для аутентификации:
- Описание обработки
- Необходимость и пропорциональность
- Риски для субъектов данных
- Меры митигации
2.3 Документация для создания #
-
Внутренние документы (НЕ публикуются):
- Records of Processing Activities (ROPA) — реестр обработки
- AI System Inventory — инвентаризация AI-систем
- Editorial Workflow Documentation — процесс редакторского контроля
- Data Retention Schedule — расписание хранения/удаления
- Security Measures Documentation — описание мер безопасности
- Incident Response Plan — план реагирования на инциденты
-
Публичные документы:
- Privacy Policy (PT + EN) — на каждом сайте
- Terms of Use (PT + EN) — на каждом сайте
- Cookie Policy — на сайтах с аутентификацией
- Content Methodology / About — на энциклопедиях
- Licensing page — файлы LICENSE, LICENSE-CONTENT
2.4 Оценка copyright-рисков #
-
Анализ рисков AI-сгенерированного контента под CC-лицензией:
- По текущему праву ЕС: AI-сгенерированный контент не защищён авторским правом без значительного человеческого вклада
- Если контент существенно отредактирован человеком → может быть защищён
- CC-лицензия на незащищённый контент = юридическая неопределённость
- Рекомендация: Позиционировать контент как “AI-assisted, human-edited”
-
Проверить, что AI-контент не нарушает чужие авторские права:
- Провайдеры AI, как правило, не цитируют дословно защищённые тексты (Usage Policies)
- Но мониторить output на совпадения с существующими текстами
- Особенно для: научные описания, объяснения правил, интерпретации
3. Среднесрочные действия (в течение 12 месяцев) #
Срок: До февраля 2027
3.1 Если учреждаете компанию (Португалия) #
-
Подготовка к регистрации:
- Получить NIF (если резидент, уже есть)
- Выбрать CAE (Classificação de Actividades Económicas):
- 62010 — Computer programming activities
- 63120 — Web portals
- 58190 — Other publishing activities (для энциклопедий)
- Проверить доступность названия в RNPC
- Минимальный уставный капитал: €1 (рекомендуется €1,000-€5,000)
-
Процедура регистрации (Empresa na Hora или Empresa Online):
- Empresa na Hora: ~€220-360, 1 день для базовой регистрации
- Empresa Online: дешевле, но дольше
- Обязательно: Contabilista Certificado (бухгалтер), ~€100-200/мес для малого бизнеса
- Регистрация в Social Security
- Открытие банковского счёта: ~4 недели
-
Юридический адрес:
- Домашний адрес допустим для Lda
- Или виртуальный офис: ~€30-80/мес
3.2 Перенос ответственности на компанию #
-
Трансфер проектов на юридическое лицо:
- Перевести домены на Lda
- Обновить Privacy Policy (контроллер = Lda вместо индивидуала)
- Обновить Terms of Use
- Обновить LICENSE файлы (copyright holder = Company Lda)
- Обновить аккаунт платформы донатов
-
Назначить Lda контроллером данных:
- Обновить все правовые документы
- Lda = Data Controller, индивидуал = Gerente (Управляющий директор)
3.3 Регистрация в регуляторах #
-
ANACOM (рыночный надзор AI Act):
- На февраль 2026 формальная регистрация deployers не требуется
- Мониторить обновления: ANACOM может ввести обязательную регистрацию
- Сайт: https://www.anacom.pt
-
CNPD (защита данных):
- Назначение DPO не обязательно для малого бизнеса
- Но уведомление CNPD может потребоваться для определённых типов обработки
- При data breach: обязательное уведомление в 72 часа (Art. 33 GDPR)
- Сайт: https://www.cnpd.pt
-
Finanças (налоговая):
- Автоматически при регистрации Lda
- Донаты Ko-fi: могут классифицироваться как доход, уточнить с бухгалтером
- IRC (корпоративный налог): 21% стандартная ставка, доступны льготы для стартапов
3.4 Страхование #
-
Professional Liability Insurance:
- НЕ обязательно по закону для IT-компаний в Португалии
- Рекомендуется при масштабировании
- Примерная стоимость: €300-800/год для малого IT-бизнеса
- Покрывает: ошибки в контенте, нарушения privacy, ущерб от неверной информации
- Особенно важно для энциклопедий по чувствительным темам (идентификация грибов, здоровье)
- Провайдеры: Tranquilidade, AIG Portugal, Howden
-
Cyber Insurance:
- Покрывает: утечки данных, кибератаки, расходы на уведомление о breach
- Примерная стоимость: €200-500/год
- Рекомендуется при >100 пользователей в системе аутентификации
4. Постоянный compliance #
4.1 Мониторинг регуляторных изменений #
-
Подписаться на обновления:
- EU AI Act Newsletter: https://artificialintelligenceact.substack.com
- ANACOM (Portugal): https://www.anacom.pt
- CNPD (Portugal): https://www.cnpd.pt
- AI Office (EC): https://digital-strategy.ec.europa.eu/en/policies/ai-office
- European AI Act portal: https://artificialintelligenceact.eu
-
Ключевые даты для отслеживания:
- Июнь 2026: Финализация Code of Practice по маркировке AI-контента
- 2 августа 2026: Вступает в силу Article 50 (обязательства по прозрачности) и обязательства для high-risk AI
- 2 августа 2027: Вступают в силу обязательства для high-risk AI в регулируемых продуктах
- Март 2026: Голосование Европарламента по отчёту “Copyright and Generative AI”
- Постоянно: Национальная имплементация AI Act Португалией
4.2 Периодические обновления документов #
| Документ | Частота обновления | Триггер |
|---|---|---|
| Privacy Policy | Ежегодно + при изменениях | Новый тип данных, новый процессор, смена контроллера |
| Terms of Use | Ежегодно + при изменениях | Новый функционал, изменение лицензии |
| Cookie Policy | При изменении cookies | Добавление/удаление cookies |
| Content Methodology | При изменении процесса | Новый AI-инструмент, изменение workflow |
| ROPA | Ежеквартально | Новая обработка данных |
| AI System Inventory | Ежеквартально | Новый AI-инструмент, обновление модели |
| DPIA | Ежегодно (если применимо) | Изменение масштаба/характера обработки |
| Editorial Workflow | При изменении процесса | Новый инструмент, новый рецензент |
4.3 Документация обучающих данных / Промптов #
-
Для энциклопедий:
- Хранить основные промпты (шаблоны), используемые для генерации контента
- Документировать, какие внешние источники использовались для верификации
- Не хранить PII в промптах (нет PII пользователей → минимальный риск)
- Не обязательно хранить каждый промпт — шаблоны и методология достаточны
-
Для кода:
- AI-ассистированный код: нет специальных требований AI Act
- Стандартные требования opensource-лицензий: SPDX, атрибуция
- Нет обязанности раскрывать использование AI при написании кода (AI Act не покрывает developer tools)
4.4 Реагирование на инциденты #
-
Создать Incident Response Plan:
1. Data Breach (утечка данных аутентификации):
- Уведомить CNPD в течение 72 часов (Art. 33 GDPR)
- Уведомить затронутых пользователей (Art. 34 GDPR), если высокий риск
- Задокументировать инцидент, причины, меры
2. Неверный контент энциклопедии (ошибка идентификации гриба и т.п.):
- Немедленно исправить или удалить статью
- Разместить уведомление об исправлении
- Задокументировать инцидент
3. Нарушение copyright (DMCA/Copyright claim):
- Процедура Notice and Takedown
- Контактный email для жалоб в Terms of Use
- Расследование и ответ в течение 14 дней
4. Сбой AI-системы:
- Прекратить публикацию контента из затронутого источника
- Проверить ранее опубликованный контент
- Задокументировать
-
Шаблоны уведомлений:
- Уведомление CNPD о data breach
- Уведомление пользователя о data breach
- Уведомление об исправлении контента
4.5 Периодические аудиты #
| Тип аудита | Частота | Ответственный |
|---|---|---|
| Безопасность инфраструктуры | Ежеквартально | Технический руководитель |
| Соответствие Privacy Policy фактической обработке | Раз в полгода | Владелец |
| Аудит лицензий зависимостей | Каждый major release | Владелец |
| Проверка актуальности документов | Ежеквартально | Владелец |
| Точность контента энциклопедии | Постоянно, по расписанию | Владелец / эксперты |
5. Матрица оценки рисков #
Шкала рисков #
Вероятность: Низкая (1) | Средняя (2) | Высокая (3) Воздействие: Низкое (1) | Среднее (2) | Высокое (3) | Критическое (4) Приоритет: Риск = Вероятность × Воздействие
5.1 Регуляторные риски #
| # | Риск | Вероятность | Воздействие | Оценка | Митигация | Приоритет |
|---|---|---|---|---|---|---|
| R1 | Штраф CNPD за отсутствие Privacy Policy | Средняя (2) | Высокое (3) | 6 | Создать Privacy Policy немедленно | P0 |
| R2 | Штраф за нарушение Art. 50 AI Act (с авг. 2026) | Низкая (1) | Высокое (3) | 3 | Документировать editorial control, подготовить маркировку | P1 |
| R3 | Штраф за отсутствие ROPA (Art. 30 GDPR) | Низкая (1) | Среднее (2) | 2 | Создать ROPA в течение 3 месяцев | P2 |
| R4 | Нарушение AI literacy obligation (Art. 4) | Очень низкая | Низкое (1) | 1 | Документировать AI-компетенцию | P3 |
5.2 Риски данных #
| # | Риск | Вероятность | Воздействие | Оценка | Митигация | Приоритет |
|---|---|---|---|---|---|---|
| D1 | Утечка данных аутентификации (PII пользователей) | Низкая (1) | Критическое (4) | 4 | Шифрование, контроль доступа, бэкапы, план реагирования | P0 |
| D2 | Несанкционированный доступ к VPS | Низкая (1) | Высокое (3) | 3 | SSH ключи, firewall, обновления, мониторинг | P1 |
| D3 | Потеря данных (бэкапы) | Низкая (1) | Среднее (2) | 2 | Регулярные бэкапы, тестирование восстановления | P2 |
5.3 Контентные риски #
| # | Риск | Вероятность | Воздействие | Оценка | Митигация | Приоритет |
|---|---|---|---|---|---|---|
| C1 | Ошибка энциклопедии → вред (отравление грибами) | Низкая (1) | Критическое (4) | 4 | Disclaimers, verified-only для токсичности, safety protocol, страховка | P0 |
| C2 | Нарушение copyright в AI-контенте | Низкая (1) | Среднее (2) | 2 | Проверка уникальности, editorial review, процедура takedown | P2 |
| C3 | Неточная информация в энциклопедии | Средняя (2) | Низкое (1) | 2 | Система verified/unverified, источники, механизм обратной связи | P2 |
| C4 | AI-галлюцинации — ложные факты | Средняя (2) | Среднее (2) | 4 | Editorial review, fact-checking, маркеры confidence | P1 |
Приложение A: Шаблон Privacy Policy #
Файл: privacy-policy.md (PT + EN) на каждом сайте
Структура:
- Идентификация контроллера — Кто мы (контроллер: имя, NIF, адрес, email)
- Собираемые данные — Какие данные мы собираем:
- Данные аккаунта (email, username) — через аутентификацию
- Данные аналитики (анонимизированные) — через self-hosted аналитику
- Данные донатов — через третью сторону (ссылка на их Privacy Policy)
- Правовое основание — Правовое основание (Art. 6 GDPR):
- Согласие — для регистрации аккаунта
- Законный интерес — для аналитики
- Исполнение договора — для предоставления сервиса
- Цели — Цели обработки
- Передача данных — Кому мы передаём (sub-processors: платформа донатов, VPS-провайдер)
- Международные передачи — Трансграничные передачи (если есть)
- Сроки хранения — Периоды хранения
- Права субъектов данных — Права (доступ, исправление, удаление, переносимость, возражение, ограничение)
- Безопасность — Меры безопасности
- Cookies — Описание cookies (или ссылка на Cookie Policy)
- Изменения — Процедура изменения политики
- Контакты — Контакт для вопросов + право на жалобу в CNPD
Приложение B: Ключевые ресурсы #
Законодательство #
- EU AI Act (Regulation 2024/1689)
- GDPR (Regulation 2016/679)
- Article 50: Transparency Obligations
- Article 99: Penalties
Руководства #
- EU AI Act Implementation Timeline
- Code of Practice on AI Content Transparency
- FOSS Exemptions in EU AI Act (Linux Foundation)
- CNIL AI Recommendations
Специфично для Португалии #
Дисклеймер: Этот чеклист составлен на основе публичных источников и актуален на 25 февраля 2026 года. Он не является юридической консультацией. Для юридически значимых решений рекомендуется консультация с лицензированным юристом в Португалии, специализирующимся на EU AI Act и GDPR.
Юридический дисклеймер
Этот контент предоставлен исключительно в информационных целях и не является юридической консультацией. По конкретным правовым вопросам обращайтесь к квалифицированному специалисту.