1. Law
  2. Всі випуски
  3. Випуск 13, Номер 1 (49), 2026
  4. Поведінкові характеристики як об’єкт захисту персональних даних у праві Європейського Союзу

Поведінкові характеристики як об’єкт захисту персональних даних у праві Європейського Союзу

Law.
2026;
Випуск 13, Номер 1
: сс. 38-48
https://doi.org/10.23939/law2026.49.038
Надіслано: Січень 12, 2026
Прийнято: Березень 10, 2026
Опубліковано: Березень 31, 2026

Цитування за ДСТУ: Булгакова Д. Поведінкові характеристики як об’єкт захисту персональних даних у праві Європейського Союзу. Вісник Національного університету “Львівська політехніка”. Серія: “Юридичні науки”. 2026. Том. 13, № 1 (49), С. 38–48. DOI:  https://doi.org/10.23939/law2026.49.038

Citation APA:  Bulgakova D. (2026) Behavioural characteristics as an object of personal data protection in european Union Law. Bulletin of Lviv Polytechnic National University. Series: Legal Sciences. Vol. 13, No 1 (49), pp. 38–48. DOI:  https://doi.org/10.23939/law2026.49.038

Автори:
  1. Daria Bulgakova
1
Національний університет «Львівська політехніка», Україна

Стаття досліджує поведінкові дані та їх правове регулювання у праві Європейського Союзу із застосуванням GDPR та регуляторних норм штучного інтелекту. У роботі ана-лізується концептуальне й правове розмежування між поведінковими характеристиками та біометричними даними та обґрунтовується позиція, що цифрово згенеровані поведінкові дані, як правило, не забезпечують стабільної й однозначної ідентифікації фізичної особи. Відповідно, такі дані не підпадають під суворий режим заборони, передбачений статтею 9(1)(2) GDPR, хоча залишаються персональними даними та мають опрацьовуватися на одній із законних підстав, визначених у статті 6 GDPR.

Дослідження демонструє, що поведінкові характеристики переважно використо-вуються для прогнозування та аналізу патернів, а тому регулюються в межах концепції профайлінгу GDPR, а не режиму спеціальних категорій персональних даних. Поведінкові дані можуть не ідентифікувати особу в певний момент часу, проте набувають іденти-фікаційного характеру через тривале накопичення, поєднання з іншими даними або систем штучного інтелекту.

Таким чином, у роботі обґрунтовується значення AI Act як lex specialis, що до-повнює GDPR шляхом обмеження використання систем ШІ, призначених для суттєвого впливу на поведінку людини або застосування підсвідомих технік, особливо у випадках, коли такі практики можуть спричиняти фізичну чи психологічну шкоду.

Окрім того, в імерсивних або нейроадаптивних середовищах та чи інша особа не спроможна реалістично усвідомити або ефективно контролювати збір і використання поведінкових даних, що підриває саму концепцію поінформованої згоди. Більше того, безперервний моніторинг поведінки з часом може впливати на пізнання, самовира-ження та автономію особи, спричиняючи “охолоджувальний ефект” і самоцензуру на-віть поза межами традиційно “чутливих” сфер. У сукупності це становить перекон-ливий аргумент на користь визнання “інтимних поведінкових даних” або “нейропо-ведінкових даних” як окремої правової категорії, що виходить за межі класичних біо-метричних даних. Так чи інакше, має бути забезпечено дотримання принципів пропорційності, мінімізації даних та людського контролю.

GDPR
опрацювання біометричних даних
AI Act
штучний інтелект
профайлінг
ідентифікація
  1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation (GDPR)), OJ L 119, 4.5.2016, p. 1–88, http://data.europa.eu/eli/reg/2016/679/oj (accessed: 11.01.2026) [In English].
  2. Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act (AI Act)) PE/24/2024/REV/1, OJ L, 2024/1689, 12.7.2024, http://data.europa.eu/eli/reg/2024/1689/oj(accessed: 11.01.2026) [In English].
  3. Binns, R., & Veale, M. (2021). Is that your final decision? Multi-stage profiling, selective effects, and Article 22 of the GDPR. International Data Privacy Law, 11(4), 319–332. https://doi.org/10.1093/ idpl/ipab020 (accessed: 11.01.2026) [In English].
  4. Sposini, L. (2024). Neuromarketing and Eye-Tracking Technologies Under the European Framework: Towards the GDPR and Beyond. Journal of Consumer Policy, 47(3), 321–344. https://doi.org/10.1007/s10603-023-09559-2 (accessed: 11.01.2026) [In English].
  5. Ienca, M., & Malgieri, G. (2022). Mental data protection and the GDPR. Journal of Law and the Biosciences, 9(1), lsac006. https://doi.org/10.1093/jlb/lsac006 (accessed: 11.01.2026) [In English].
  6. Wachter, S. (2020). Affinity profiling and discrimination by association in online behavioraladvertising. Berkeley Technology Law Journal, 35(2), 367. https://doi.org/10.15779/Z38JS9H82M (accessed: 11.01.2026) [In English].
  7. Scholler, R., Alaoui-Ismaïli, O., Renaud, D., Couchot, J.-F., & Ballot, E. (2024). In-stream mobility and speed estimation of mobile devices from mobile network data. Transportation (Dordrecht). https://doi.org/10.1007/s11116-024-10494-5 (accessed: 11.01.2026) [In English].