Навігатор по правовій системі Європейського Союзу у сфері цифровізації: Частина 1

Представлене «навігаційне» дослідження пропонує вичерпний огляд нормативно-правової бази Європейського Союзу у сфері цифровізації та відзначає зростаючий регуляторний вплив на демократичні процеси і цілісність виборів. Дослідження аналізує принципи та підходи до вироблення ключових правових інструментів, які були б здатні відповідати на складні виклики, пов’язані з цифровими технологіями та їхніми впливами на виборчі процеси, і водночас захищати фундаментальні цінності ЄС — демократію, верховенство права та основоположні права людини. Ми намагалися пояснити, як відповідні нормативні акти — зокрема Акт про штучний інтелект (2024), Акт про цифрові послуги (2022), Європейський закон про свободу медіа (2024), Загальний регламент про захист даних (2016) та Регламент про прозорість і тарґетування політичної реклами (2024) — усі разом створюють правове середовище, що дозволяє забезпечувати прозорість, підзвітність та добросовісність у дедалі більш цифровізованому виборчому процесі.

Окремо дослідження підкреслює важливість захисту основоположних прав у контексті використання персональних даних, поширення онлайн-контенту та використання штучного інтелекту. Тут ви знайдете приклади того, як зловживання персональними та конфіденційними даними, непрозорі алгоритмічні системи та маніпулятивні онлайн-практики загрожують цілісності виборів. Спираючись на правовий аналіз та практику судів ЄС, дослідження підкреслює критичну вагу стандартів мінімізації обсягу, пропорційності, згоди та прозорості у використанні персональних даних для захищення демократичних принципів. Цей механізм має вирішальне значення для управління ризиками, пов’язаними з мікротарґетингом на основі штучного інтелекту для створення і поширення політичної реклами та маніпулятивного контенту, особливо на дуже великих онлайн-платформах.

Приклади недобросовісних практик з угорських парламентських виборів 2022 року та румунської президентської кампанії 2024 року демонструють наслідки прогалин в унормуванні та правозастосуванні. Подібні реальні кейси наочно показали, як маніпуляції й дезінформація в мережі разом з нездатністю захистити конфіденційні дані можуть спотворити результати виборів та підірвати довіру громадськості. Дослідження звертає увагу на нагальну потребу в більш проактивній міжвідомчій взаємодії, чітко окреслених регуляторних повноваженнях та послідовному правозастосуванні — як на рівні ЄС, так і у кожній окремій європейській країні.

Щодо органів адміністрування виборів (ОАВ) у державах-членах ЄС, для них така швидко змінювана регуляторна ситуація, з одного боку, відкриває можливості, а з іншого — створює значні операційні виклики. ОАВ доводиться брати на себе дедалі більше додаткових обов'язків і відповідальності, попри суттєві розбіжності у їхніх правових мандатах та інституційних можливостях у кожній окремій країні. Варто зазначити, що інноваційність та неусталеність впроваджуваної регуляторної бази ЄС у сфері цифровізації є викликом навіть для найрозвинутіших держав-членів, яким доводиться швидко адаптувати свої складні юридичні, технічні та інституційні екосистеми у постійно змінюваному контексті розвитку ІКТ.

Та попри згадані складнощі, оновлену правову базу ЄС у сфері цифровізації варто вважати одним із найамбітніших зусиль світового рівня щодо узгодження практик управління новітніми технологіями з традиційними демократичними цінностями. Ефективність її подальшого впровадження залежатиме від здатності інституцій ЄС та органів влади держав-членів, включно з ОАВ, тісніше координувати свої дії, обмінюватися провідним досвідом та посилювати цифрову грамотність і стійкість до дезінформації та інших неправомірних впливів протягом усього виборчого циклу.

У висновках автори дослідження позиціонують acquis ЄС у сфері цифровізації не лише як основу для регулювання ринку, але і як важливий інструмент для забезпечення демократичної стійкості. Лише скоординоване управління та пильний нагляд можуть поставити технологічні інновації на службу цінностям відкритих, справедливих і прозорих демократичних систем, а не підривати їх зсередини та ззовні. Ініціативи, подібні до Європейського щита демократії, варто вважати прикладом перспективного підходу, спрямованого на зміцнення суспільних та інституційних захисних механізмів від нових цифрових загроз для демократії.

1.1. Демократія, основоположні права людини та верховенство права як базові європейські цінності, на які спираються acquis ЄС у сфері цифровізації

Демократія, верховенство права та повага до основоположних прав людини визнаються основними принципами, закріпленими у засновницьких договорах Європейського Союзу. Це чітко викладено у Статті 2 Договору про Європейський Союз (ДЄС), що визначає підвалини політики та правової системи ЄС, включно із сферою цифровізації:

«Союз засновано на цінностях поваги до людської гідності, свободи, демократії, рівності, верховенства права та дотримання прав людини, зокрема осіб, які належать до меншин. Ці цінності є спільними для усіх держав-членів у суспільствах, де панують плюралізм, недискримінація, толерантність, справедливість, солідарність та рівність жінок і чоловіків».

Водночас Стаття 6(1) Договору про ЄС містить пряме посилання на Хартію основоположних прав Європейського Союзу (Хартія) і визнає її однакову з Договорами юридичну силу. Суд Європейського Союзу підтвердив обов’язковий характер Хартії нарівні з реалізацією законодавства ЄС і відіграв вирішальну роль у тлумаченні її положень (СЄС 2021).

Крім положень Хартії, Стаття 6(3) Договору про ЄС навіть посилює захист основоположних прав, визнаючи права, що гарантуються Європейською конвенцією з прав людини (ЄКПЛ), загальними принципами права Союзу. Європейський суд з прав людини (ЄСПЛ) відіграв значну роль у тлумаченні та роз’ясненні цих прав, впливаючи у такий спосіб на формування як окремих національних, так і загальних правових рамок ЄС.

Європейський суд також враховує і легітимізує судову практику ЄСПЛ при тлумаченні основних прав у загальній правовій системі ЄС і забезпечує узгодженість між правом ЄС та ширшою європейською екосистемою з дотримання прав людини (Tinière 2023: 328).

Прихильність ЄС до інклюзивної, справедливої, безпечної та стійкої цифрової трансформації закріплена у Європейській декларації цифрових прав та принципів. Ця перша у своєму роді декларація ґрунтується на положеннях Хартії й посилається на Статтю 2 Договору про ЄС, яка визначає, що цінності ЄС та закріплені у правовій базі Союзу права і свободи мають поважатися в Інтернет-середовищі тією ж мірою, що і у реальному світі.

Цей короткий огляд доводить, що фундаментальні права, демократія та верховенство права визнаються не лише основоположними принципами ЄС, але й створюють юридично обов’язкові зобов’язання як для інституцій ЄС, так і для держав-членів. Інтеграція цих принципів до правової бази Союзу, включно з цифровою сферою, забезпечує відповідність основним правилам будь-яких цифрових політик ЄС, зокрема окремих регуляторних вимог до захисту даних (Загальний регламент про захист даних, GDPR), функціонування платформ (Акт про цифрові послуги, DSA), управління штучним інтелектом (Акт про штучний інтелект), підтримки свободи ЗМІ (Європейський закон про свободу медіа, EMFA) та забезпечення прозорості політичної реклами (Регламент про прозорість і тарґетування політичної реклами, TTPA).

Крім того, Стаття 51(1) Хартії закріплює зобов’язання держав-членів поважати права в імплементації законодавства ЄС, забезпечуючи послідовність у дотриманні демократичних принципів, цінностей та верховенства права всередині Союзу.

Відтак чинна правова база створює підвалини і для забезпечення цілісності виборів, захисту приватного життя та дотримання прозорості у цифровому просторі.

1.2. Захист цілісності виборів у європейській судовій практиці: роль ЄСПЛ та СЄС у забезпеченні належних виборчих стандартів

Політика ЄС у сфері цифровізації первинно формується на основі фундаментальних принципів, викладених у Договорі про ЄС та більш широкій правовій базі Союзу, невід’ємною частиною якої є судова практика Європейського суду та ЄСПЛ. Закріплені принципи наголошують на прихильності ЄС до дотримання демократичних цінностей, включно з цілісністю виборів як базової підвалини будь-якої функціонуючої демократії.

Право на вільні вибори закріплено у Статті 3 Протоколу № 1 до ЄКПЛ. За тлумаченням ЄСПЛ, цей принцип вимагає прозорості, доступності та захисту прав виборців від неправомірних зовнішніх впливів.

ЄСПЛ послідовно повертається до тлумачення цієї статті для вирішення проблем, пов’язаних із сучасними технологічними інноваціями, зокрема у сфері функціонування цифрових платформ. Така еволюція судової практики підкреслює важливість прозорості, доступності та захисту прав виборців від неправомірних зовнішніх впливів у цифрову епоху.

У справі «Давидов та інші проти Росії»¹ ЄСПЛ підкреслив позитивне зобов'язання держави забезпечити цілісність виборів, включно з ретельним унормуванням процесу зарахування, верифікації та обробки голосів виборців.

Крім того, ЄСПЛ пропонує ґрунтовні настанови, які підкреслюють еволюційний характер виборчих прав і наголошують на необхідності адаптації правових рамок держав-членів до нових викликів, зокрема тих, які виникають у зв’язку з розвитком цифрових технологій. У настановах підкреслюється, що право на вільні вибори охоплює не лише голосування як таке, але й ширший контекст, у якому відбуваються вибори, зокрема інформаційне середовище на цифрових платформах (Європейський суд з прав людини, 2024).

Європейський суд (CJEU) відіграв фундаментальну роль у формуванні політик ЄС щодо забезпечення цілісності виборів, особливо у питаннях захисту даних та конфіденційності. У справі Шварц проти міста Бохум², Суд наголосив на необхідності вжити суворих заходів для захисту даних у виборчому контексті та забезпечити відповідальне поводження з персональними даними виборців. У подальшій судовій практиці — наприклад, у справі Digital Rights Ireland Ltd проти Ірландії³ — розглядалося делікатне питання балансу між питаннями безпеки (зберігання даних) та забезпеченням основоположних прав, що значною мірою вплинуло на вироблення відповідних політик, як от Загального регламенту про захист даних (GDPR).

Справи Planet49 GmbH проти CNIL⁴ та Google проти CNIL⁵ підкреслюють важливість явної згоди на обробку даних відповідно до GDPR. У справі Planet49 наголошується на необхідності активної, інформованої згоди користувачів (наприклад, необов’язковість заповнення попередньо відмічених полів реєстраційної форми), а у справі Google підкреслюється необхідність згоди користувача на трансфер даних між серверами Google та іншими сторонами і забезпечення права на видалення даних. Ці рішення, хоча вони і не пов'язані безпосередньо з політичним мікротарґетингом, доводять необхідність більшої прозорості у практиках збору даних та захисту приватності виборців у цифровому середовищі, що є надзвичайно важливим у контексті ведення політичних кампаній з використанням тактики мікротарґетингу.

Нарешті, в acquis ЄС у сфері цифровізації міцно вкорінені основні цінності Союзу — демократія, верховенство права та фундаментальні права людини — аби гарантувати, що цифрова трансформація підтримує, а не підриває цілісність виборів. Нормативні документи ЄС у сфері цифровізації, як от Акт про штучний інтелект, Акт про цифрові послуги, Загальний регламент про захист даних, Акт про свободу медіа та комплекс регуляторних заходів щодо транснаціональної політичної діяльності — усі вони спираються на положення Договору про Європейський Союз (ДЄС), Договору про функціонування Європейського Союзу (ДФЄС) і Хартії, а також на судову практику Європейського суду та Європейського суду з прав людини і комплексно захищають прозорість, персональні дані, свободу ЗМІ та справедливу політичну участь. Така інтегрована правова база гарантує, що в iнтернет-просторі застосовуються ті самі права та механізми їхнього захисту, що й у реальному світі, для убезпечення демократичних процесів у цифрову епоху від неправомірних впливів.

2.1. Право на приватність та захист персональних даних у виборчих процесах

Виборчі органи дедалі частіше збирають, опрацьовують та використовують персональні дані для підвищення ефективності виборчого циклу. Учасники виборів можуть використовувати такі дані, зокрема, для ідентифікації та реєстрації виборців і планування та ведення виборчих кампаній. Однак така залежність від збору персональних даних створила тривалу колізію між принципами захисту даних та вимогами до проведення виборів. До прикладу, списки виборців мають бути прозорими та доступними для перевірки усіма зацікавленими сторонами, але вимога такої відкритості може суперечити обов’язку захищати персональні дані фізичних осіб.

Виборчі органи повинні визнавати цей конфлікт і розробляти механізми, які б відповідали як принципам захисту особистих даних, так і вимогам демократичного виборчого процесу. За таких обставин Міжнародний інститут демократії та сприяння виборам (International IDEA) розробив керівні принципи щодо використання біометричних технологій під час виборів (Wolf et al. 2017), а також базу даних з довідковою інформацією про використання інформаційно-комунікаційних технологій (ІКТ) у виборах (International IDEA n.d.). Але слідувати будь-яким рекомендаціям варто з максимальною обережністю та розумінням серйозних викликів, які створює використання цифрових технологій для підвищення ефективності виборчих процесів, зокрема в частині забезпечення права на приватність та захист персональних даних.

Відтак, для дотримання права на приватність та захист особистих даних ЄС ухвалив загальний регламент (GDPR) [Європейський Союз 2016]. Цей правовий акт має на меті захист визнаних Хартією основоположних прав, як от повага до приватного та сімейного життя (Стаття 7) і захист особистих даних (Стаття 8). Такі ж заходи захисту передбачені Статтею 16(1) ДФЄС. Головною метою Регламенту є встановлення принципів та правил захисту даних, яких повинні дотримуватися як державні органи, так і приватні суб’єкти. Тож усі держави-члени ЄС мають оновити свої чинні національні закони про захист даних у відповідності до вимог GDPR, аби гармонізувати правові рамки та забезпечити вільний обмін персональними даними між країнами (FRA and CoE 2018: 29).

Для проведення демократичних виборів ОАВ мають забезпечувати право на приватність та захист даних у виборчому контексті (Gross 2010: 5–6). Водночас, будучи інтегрованими до ширшої системи європейських цінностей, такі права можуть бути обмеженими, якщо це необхідно для досягнення важливих цілей загального суспільного інтересу. Обмеження у частині захисту даних та права на приватність мають оцінюватися для кожного конкретного випадку і за конкретних обставин. Наприклад, на підставі Статті 52(1) Хартії та Статті 23(1) GDPR, для проведення вільних і справедливих виборів допускається обмеження обсягу права на захист персональних даних у якості пропорційного заходу, який обов’язково:

• застосовується відповідно до закону;
• зберігає сутність фундаментального права на захист персональних даних;
• відповідає принципам пропорційності, необхідності та законної мети; та
• визнається ЄС необхідним для досягнення важливих цілей загального суспільного інтересу (FRA and CoE 2018: 36).

2.1.1. Застосування принципів GDPR у виборах

У контексті демократичних виборів технології широко використовуються для збору, зберігання та обробки персональних даних. Прикладами тут можуть бути процеси реєстрації, біометричної ідентифікації та електронного голосування. Тож Стаття 5 GDPR визначає, що використання таких технологій виборчими суб'єктами має відповідати таким принципам: (a) законність, доброчесність та прозорість; (b) обмеження цілей використання; (c) мінімізація обсягу персональних даних; (d) обмежене у часі зберігання даних; та (e) забезпечення цілісності й конфіденційності використаних даних.

Саме цими принципами унормовується обробка персональних даних. Будь-які обмеження або винятки із зазначених принципів мають бути передбачені законом, переслідувати законну мету, і у кожному окремому випадку оцінюватися як пропорційний захід, необхідний для досягнення цілей демократичного суспільного інтересу (Стаття 23[1] GDPR).

Відтак у контексті вільних і справедливих виборів законність обробки персональних даних виборчими суб’єктами має ґрунтуватися на одній з трьох підстав: (а) юридичне зобов’язання; (б) згода суб’єкта даних; або (в) необхідність реалізації заходів для досягнення законної мети в інтересах суспільства.

Наприклад, для формування надійного списку виборців у конкретному виборчому окрузі ОАВ має повноваження обробляти персональні дані виборців з метою впровадження системи реєстрації та автентифікації виборців. Така обробка персональних даних може бути дозволена на підставі вільної, інформованої та однозначної згоди (Стаття 4[11] та Стаття 7 GDPR) або ж на підставі національного виборчого законодавства (Рада Європи 2024). За умови дотримання однієї з двох наведених норм, обробка персональних даних виборчими органами у процесі впровадження ШІ або інших цифрових технологій у виборах вважається законною. Іншими словами, за нормами Регламенту, виборчі органи завжди повинні мати чітко визначену правову основу для обробки персональних даних.

2.1.2. Проблема згоди на обробку даних

Відповідно до вимог Регламенту, існують обмеження щодо обробки персональних даних. У контексті політичної онлайн-реклами низка суб'єктів розвінчали ілюзію реального отримання вільної, поінформованої та однозначної згоди користувача, необхідної за вимогами GDPR. Наприклад, новий Регламент (ЄС) 2024/900 про прозорість і тарґетинг політичної реклами (TTPA) застерігає від прихованої агітації, яка «намагається або фактично істотно спотворює чи то послаблює прийняття особою незалежного та інформованого рішення» (пункт 75 TTPA). Європейський інспектор із захисту даних (EDPS) підкреслює ризики, пов'язані із «спонуканням користувачів до прийняття ненавмисних, небажаних і потенційно шкідливих рішень щодо надання дозволу на обробку їхніх персональних даних» (Європейський інспектор з захисту даних 2022: 2). Простіше кажучи, згода користувачів використовується для обходу вимог GDPR і отримання величезних обсягів персональних даних для подальшого їх використання для цілей політичної онлайн-агітації без належної обізнаності з боку користувача.

Стосовно особливих категорій персональних даних — як от політичні переконання, етнічна приналежність або сексуальна орієнтація — їхня обробка заборонена як така (Стаття 9 GDPR) без надання явної згоди на обробку таких даних, або ж якщо не застосовуються інші правові підстави, зазначені у Статті 9(2) GDPR. Регламент TTPA застосовує ті ж самі критерії: заборонено використання особливих категорій персональних даних для цілей політичної онлайн-реклами, зокрема для методів тарґетингу та доставки такої реклами, за винятком випадків, коли суб’єкт даних надає явну та окрему згоду на їх використання для політичної реклами (Стаття 18 TTPA).

Можливість отримувати згоду на обробку даних без усвідомленої обізнаності з боку користувача, яка використовується для обходу вимог GDPR щодо обробки чутливих даних, разом з відсутністю дієвих механізмів для запобігання зловживанням з боку приватних суб’єктів призвели до справжнього буму політичної реклами в Інтернеті. Використання персональних даних для цілей політичної онлайн-агітації змінило методи тарґетування та залучення виборців. Завдяки технікам профілювання в агітаційних онлайн-кампаніях почали використовувати системи штучного інтелекту (ШІ) для мікротарґетингу громадян на платформах соціальних медіа через надсилання персоналізованих політичних повідомлень (Juneja 2024).

Метод мікротарґетингу передбачає:

• збір даних та поділ виборців на сегменти за такими характеристиками, як певні риси особистості, інтереси, походження або попередня виборча поведінка;
• розробку персоналізованого політичного контенту для кожного сегмента; та
• використання каналів комунікації для донесення таких персоналізованих повідомлень до цільових сегментів виборців (International IDEA 2018).

Такі методи можуть бути корисними як для політичних партій, так і для виборчих органів, адже вони спрощують донесення інформації до людей, які зазвичай не беруть участі у виборчих процесах. Однак ці інструменти можна також використовувати для маніпулювання свідомістю громадян та підриву суспільної злагоди через перешкоджання відкритим публічним обговоренням, загострення політичної поляризації та сприяння поширенню дезінформації (Gorton 2016). Використання методів тарґетингу на основі зібраних особистих та конфіденційних даних часто відбувається без згоди або чіткого усвідомлення користувачами (Bashyakarla et al. 2019). Все це може суттєво вплинути на цілісність виборів. Крім того, недобросовісні практики отримання згоди на використання особистих даних створюють уразливості, якими можуть скористатися зловмисники для поширення дезінформації та маніпулятивного контенту.

2.1.3. Техніки мікротарґетингу та доставки повідомлень для охоплення виборців: відповідність використання ШІ та автоматизованого прийняття рішень до вимог GDPR

Загальний регламент про захист даних (GDPR) визнає, що автоматизовані процеси прийняття рішень, як от системи штучного інтелекту, для профілювання або доставки онлайн-реклами можуть мати серйозні наслідки. Так, Стаття 22 GDPR визначає, що користувач має право не підпадати під рішення, що ґрунтується виключно на автоматизованій обробці даних (без участі людини у процесі прийняття рішення). Однак Стаття 22[1] Регламенту також визначає, що моделі ШІ можуть бути навчені на основі персональних даних у разі існування конкретної законної підстави, як от згода користувача, договір або законний інтерес. Крім того, Регламент також передбачає, що громадяни мають бути поінформовані про намір навчити модель ШІ та мати право на заперечення або відкликання своєї згоди на використання їхніх персональних даних. Нарешті, фізичні особи можуть звернутися до контролера даних за ґрунтовною інформацією про логіку обробки або із проханням про перегляд автоматизованого рішення людиною.

Та попри існування таких правил, організації громадянського суспільства і науковці наголошують на обмеженому застосуванні Регламенту до систем ШІ, як і на негативних наслідках для обсягу прав користувачів. Наприклад, навіть якщо онлайн-платформи гарантують, що певна категорія персональних даних збиратися не буде, це не припиняє отримання та консолідації інших даних, які цілком дозволяють розкривати конфіденційну інформацію про користувачів, як от їхні політичні погляди, яка може бути використана компаніями соціальних медіа, брокерами даних або третіми сторонами. До того ж, з огляду на саму природу інструментів ШІ з поглибленим машинним навчанням, суб’єкти даних (громадяни) не можуть отримати змістовного пояснення щодо процесів обробки їхніх персональних даних, адже системи ШІ за своєю суттю залишаються непрозорими та не піддаються інтерпретації ( Juneja 2024: 12; Європейське партнерство за демократію 2022: 5 ). Більш того, фрагментоване та відтерміноване застосування GDPR у проведенні онлайн-кампаній (Massé 2023: 3–4) ще більше ускладнює дотримання основоположних принципів Регламенту, а саме мінімізацію збираних персональних даних та обмеження цілей їхнього використання.

2.1.4. Техніки мікротарґетингу та ампліфікації у контексті GDPR

Як вже зазначалося раніше, методи мікротаргетингу в політичних онлайн-кампаніях дозволяють знаходити користувачів через аналіз особистих та конфіденційних даних для створення персоналізованих профілів на основі їхньої поведінки в Інтернеті (International IDEA 2018). Попри потенційну користь методів мікротарґетингу для громадян завдяки зростаючим можливостям поширення інформації про виборчі процеси, вони також становлять певну загрозу для прав і свобод, наприклад, через маніпуляції або іноземне втручання (European Parliamentary Research Service 2019: 22). Техніки мікротарґетингу та масштабування не лише підживлюють поляризацію аудиторій через бізнес-моделі великих технологічних компаній, але й базуються на непрозорій структурі, що заважає владі контролювати дотримання правил захисту персональних даних та обіг коштів між виробниками політичної реклами, компаніями соціальних медіа, політичними партіями та іншими суб’єктами політичного процесу (Heinmaa 2023: 15).

Подібні бізнес-моделі значною мірою використовують алгоритми, спрямовані на залучення аудиторій, що зазвичай надають пріоритет емоційно зарядженому або суперечливому контенту — часто згадуваному як «приманка для гніву» — з метою привернути максимальну увагу користувачів та збільшити доходи від реклами. Така динаміка стимулює поширення наративів, спрямованих на поляризацію та поглиблення розломів у суспільстві. Відсутність прозорості щодо методів просування контенту, джерел фінансування та цільових груп користувачів майже унеможливлює розуміння алгоритмічних рішень, а відтак і ким, за яких умов та яка саме інформація була переглянута, що по суті підриває принцип підзвітності та демократичного контролю. Одним з найбільших викликів для виборчих органів є пошук можливостей для контролю над персоналізованою виборчою онлайн-агітацією в умовах непрозорості системи.

2.1.5. Обмежене використання особливих категорій персональних даних у виборчому контексті

Як бачимо, застосування вимог GDPR у виборчих процесах може як обмежуватися, так і створювати певні ризики.

У відповідь на значні виклики, пов’язані з використанням персональних даних у політичній онлайн-рекламі — відсутність прозорості, профілювання на основі чутливої інформації та потенційна маніпуляція поведінкою виборців — Європейський інспектор із захисту даних закликав заборонити збирання та обробку окремих категорій персональних даних, включно з інформацією про стан здоров’я, сексуальну орієнтацію та політичну приналежність особи (Європейський інспектор із захисту даних, 2022). Ці рекомендації спричинені занепокоєнням, що вимог GDPR може бути недостатньо для запобігання використанню чутливих даних у політичних кампаніях. Така позиція, зокрема, узгоджується з положеннями Статті 18 нового Регламенту ЄС 2024/900 про прозорість і тарґетинг політичної реклами (TTPA), якими встановлені більш суворі обмеження на використання подібних даних для здійснення цільового впливу у політичному контексті.

У демократичному суспільстві не може бути виправдання для збирання та обробки чутливих даних з метою ведення політичних кампаній в Інтернеті. Потенційні ризики, пов'язані з техніками мікротарґетингу, неналежним дотриманням вимог GDPR виборчими органами та органами із захисту даних, а також проблеми з отриманням особистої згоди за правилами Регламенту є вагомими аргументами проти дозволу на будь-які винятки щодо використання особливих категорій персональних даних для цілей політичної реклами в Інтернеті.

Підсумовуючи, використання технік мікротарґетингу під час виборів також виявило недостатнє застосуванні правил GDPR щодо політичної реклами в Інтернеті. Обмеження потоку персональних даних між приватними та державними суб’єктами потенційно запобігає тим порушенням основоположних прав, які можуть підірвати виборчий процес. Тож забезпечення ефективного дотримання Регламенту у виборчому контексті є одним із найважливіших викликів для виборчих органів та політиків.

2.1.6. Контролююча функція виборчих органів: оцінка впливу на захист даних

У контексті виборів політичні партії, виборчі органи, окремі кандидати, організації громадянського суспільства (спостерігачі) та виробники і розповсюджувачі політичної реклами, серед інших, можуть підпадати під дію GDPR. Відтак, за діючими правилами, державні органи мають мандат і несуть правову відповідальність за дотримання порядку обробки персональних даних, тоді як інші суб’єкти, як от політичні партії, мають отримати на це персональну згоду або ґрунтовно довести свій законний інтерес (Європейська комісія 2018: 5).

Незалежно від того, чи збираються і обробляються дані на підставі юридичних зобов’язань, особистої згоди або ж законного інтересу, ОАВ та інші суб’єкти повинні чітко дотримуватися вимог Регламенту. За визначенням Європейського суду, усі суб’єкти, що беруть участь у зборі та обробці персональних даних, кваліфікуються як «контролери», відтак набувають зобов’язань відповідно до законодавства про захист даних⁶. Навіть якщо інша юридична особа обробляє персональні дані від імені та за вказівкою контролера, вона автоматично підпадає під дію GDPR. Наприклад, якщо ОАВ залучає приватну компанію для підготовки біометричного списку виборців, обидві сторони мають обробляти отримані біометричні дані у відповідності до вимог GDPR.

Виконання стандартів GDPR означає дотримання згаданих вище принципів, зокрема мінімізації обсягів та обмеження мети використання збираних персональних даних, підзвітності, прозорості, безпеки та конфіденційності. Це вимагає від виборчих органів реалізації відповідних заходів для зменшення ризиків у сфері захисту даних та впровадження відповідних інструментів для забезпечення конфіденційності даних на етапі підготовки та у контексті проведення виборів.

Так, для випадків, коли обробка даних може потенційно створювати суттєві ризики для прав і свобод фізичних осіб, Регламент вимагає від контролерів проведення попередньої оцінки впливу своїх передбачуваних дій та інструментів захисту персональних даних. Стаття 35 GDPR «Оцінювання впливу на захист даних» визначає необхідність оцінювання не лише ризиків для прав і свобод суб’єктів даних, але також доцільності та пропорційності операцій опрацювання для дотримання вищезазначених принципів.

Якщо далі розглядати ситуацію на прикладі впровадження біометричного списку виборців, для оцінювання впливу на захист даних та з метою дотримання означених принципів АОВ має поставити питання: чи є така процедура необхідною для виконання завдання, пов'язаного з проведенням виборів? (Більш детально про це у розділі 3.3: Обробка даних органами адміністрування виборів).

2.2. Кібербезпека на виборах

Виборчі органи, у співпраці з іншими відповідними установами, відповідають за управління та зменшення ризиків, включно із кіберзагрозами, що виникають у зв’язку з організацією та проведенням виборів. У демократичному суспільстві кібербезпека передбачає захист цілісності виборів та «забезпечення прозорої роботи системи управління або цифрових систем, використовуваних для адміністрування виборів» (Агентство Європейського Союзу з кібербезпеки, 2019: 4). Кіберзагрози, як от атаки на конфіденційність, цілісність та доступність пов’язаних з виборами даних або технологій, можуть підірвати вибори як такі (van der Staak and Wolf 2019).

Подібним чином — попри те, що іноземні інформаційні маніпуляції та втручання (FIMI) частіше асоціюються з дезінформацією — така ворожа діяльність також передбачає створення загроз для кібербезпеки та здійснення кібератак, спрямованих на критичну виборчу інфраструктуру. Широко використовувані для експлуатації вразливостей тактики, методи та процедури лише підкреслюють необхідність комплексного підходу до захисту цілісності виборів. Негативний вплив на цілісність виборчих процесів може здійснюватися і через гібридні загрози: FIMI, поширення дезінформації у соціальних мережах та створення дипфейків з використанням штучного інтелекту.

У контексті регламентів ЄС кібербезпека передбачає захист цілісності, доступності та конфіденційності виборчих процесів на базі комплексного та інтегрованого підходу, який враховує усі потенційні ризики. Попри визнання компетенції та відповідальності кожної окремої країни-члена за організацію і проведення національних виборів, ЄС розробив низку ініціатив для протидії кіберзагрозам. З огляду на широке використання цифрових технологій для підтримки виборчих процесів, сприяння кібербезпеці в ЄС відіграє важливу роль у забезпеченні безпеки виборів в цілому.

Група співробітництва з питань мережевої та інформаційної безпеки (NIS Cooperation Group) — спільний проєкт держав-членів ЄС, Європейської комісії та Агентства Європейського Союзу з кібербезпеки (ENISA) — наголошує на необхідності особливої уваги до загроз у виборчий період, зважаючи на потенційну вразливість використовуваних технологій до «кібератак, системних збоїв, людських помилок, стихійного лиха та подібних непередбачуваних обставин, як от відключення електроенергії та збої у роботі мережі» (NIS Cooperation Group 2024: 4–5). Група співробітництва з питань мережевої та інформаційної безпеки підготувала довідник для забезпечення кібербезпеки виборчого процесу, у якому детально представила опрацьований підхід з урахуванням усіх можливих ризиків, а також роз’яснила основні кіберзагрози впродовж виборчого циклу, включно із спрямованими на політичні партії та політиків як безпосередніх акторів.

З огляду на можливість впливу людського фактору на кібербезпеку під час виборів, ініціативи ЄС закликають до співпраці та обміну знаннями щодо протидії дезінформації в Інтернеті та іншим гібридним загрозам, включно з FIMI. Так, Європейська мережа співпраці з питань виборів закликала до обміну інформацією та провідним досвідом між мережами держав-членів з метою оцінки ризиків та виявлення кіберзагроз або інших інцидентів, які можуть вплинути на цілісність виборів (Європейська мережа співпраці з питань виборів, без дати: 2). Європейська комісія (2023: параграф 20) також заохочує більш тісну «співпрацю між державними та приватними структурами у сфері забезпечення кібербезпеки на виборах» та підвищення обізнаності про кібергігієну серед політичних партій, кандидатів, працівників ОАВ та інших пов’язаних з виборами структур.

Спільні майданчики для співробітництва є особливо важливими через обмежені повноваження ЄС у питаннях проведення виборів. Розподіл повноважень ґрунтується на положеннях Статей 4 та 5 Договору про Європейський Союз, за якими повноваження, не передані Союзу, залишаються у компетенції держав-членів. Відтак питання виборів значною мірою належать до національних юрисдикцій, що обмежує можливості ЄС приймати прямі законодавчі акти. Однак, у дозволених договорами межах, ЄС відіграє допоміжну роль через сприяння координації, підтримку добровільного співробітництва та заохочення до обміну провідним досвідом на спільних майданчиках для взаємного навчання та політичного діалогу.

Серед успішних прикладів варто згадати плідну міжвідомчу взаємодію між Європейською мережею співпраці з питань виборів та Групою співробітництва з питань мережевої та інформаційної безпеки, а також мережеві ініціативи, спрямовані на посилення стійкості виборчих процесів до кіберзагроз, як от EU-CyCLONe (Європейська мережа органів зв’язку щодо кіберкриз). У боротьбі з кіберзагрозами під час виборів можна також звернутися по допомогу та за узагальненим досвідом країн-членів до таких органів, як от Європейська рада із захисту даних (EDPB), Агентство Європейського Союзу з кібербезпеки, Координаційний центр реагування на надзвичайні ситуації, Європол та мережі регуляторів аудіовізуальних засобів масової інформації (Європейська мережа співробітництва з питань виборів, без дати).

2.3. Огляд правового регулювання діяльності онлайн-платформ у Європі

Цілісність інформації має вирішальне значення для виборчих процесів, зокрема це стосується і способів поширення необхідної інформації в онлайн-середовищі. В ЄС ці питання регулюються різними законодавчими механізмами, включно з DSA (Європейський Союз 2022).

DSA — це комплексна правова рамка, створена для забезпечення прозорості та цифрової безпеки шляхом визначення відповідальності та підзвітності різних постачальників цифрових послуг, особливо цифрових платформ з понад 45 мільйонами активних користувачів, з інтегрованими пошуковими системами та соціальними мережами, як от Facebook, Instagram та YouTube. З одного боку, DSA можна розглядати як горизонтальний регуляторний механізм, створений на підтримку інших профільних законодавчих актів для забезпечення доброчесності, довіри та безпеки у цифровому середовищі. З іншого боку, DSA визначає зобов'язання для постачальників цифрових послуг з метою запобігти поширенню незаконного або шкідливого онлайн-контенту, відтак захищає основоположні права громадян, верховенство права та демократичні цінності.

Регулювання контенту шляхом модерації за рішенням власників приватних платформ зачіпає сферу основних прав і питань демократії. Повноваження постачальників цифрових послуг (приватних суб’єктів) дискретно вирішувати, який саме контент має залишатися для розповсюдження в Інтернеті, зачіпає конституційні питання, зокрема забезпечення права на політичні переконання та свободу вираження поглядів. Згідно з вимог ами DSA, «відповідальна та сумлінна поведінка постачальників посередницьких послуг [є] передумовою для безпечного, передбачуваного і надійного онлайн-середовища із одночасним забезпеченням можливості для громадян Союзу та інших осіб вільно користуватися своїми основоположними правами, зокрема свободою вираження поглядів та свободою доступу до інформації» (пункт 3 преамбули DSA). Тож перед ЄС постає непростий виклик, коли йдеться про регулювання онлайн-платформ для захисту, просування та зміцнення закріплених у Хартії основоположних прав та європейських цінностей.

Разом з DSA як першорядним європейським законом для боротьби із шкідницькою діяльністю в Інтернеті, існує низка інших законів ЄС, дотичних до врегулювання потоку інформації під час виборів. І замість розглядати кожний законодавчий акт окремо, цей розділ зосереджується на принципах та загальних правилах, якими унормовується модерація контенту в онлайн-просторі для захисту основоположних прав та забезпечення цілісності виборів.

2.3.1. Виклики, пов'язані з модерацією онлайн-контенту: DSA та принципи ЄС

DSA підтримує три загальні принципи, відображені у Директиві 2000/31/ЄС «Про деякі правові аспекти інформаційних послуг […]» та судовій практиці Європейського суду (Madiega 2022: 2), а саме:

• Принцип країни походження (параграф 38 DSA): Постачальники онлайн-послуг мають дотримуватися вимог законодавства держав-членів, у яких вони легально зареєстровані.
• Режим обмеженої відповідальності (Стаття 9 DSA): Онлайн-посередники звільняються від відповідальності за переданий та розміщений контент (користувачів) у разі відсутності «фактичної обізнаності» (Стаття 6 DSA) про незаконну інформацію або діяльність на їхніх платформах.
• Заборона загального моніторингу (Стаття 8 DSA): Держави-члени мають утримуватися від накладання на онлайн-посередників загального обов'язку моніторингу всієї інформації, розміщеної на їхніх онлайн-ресурсах.

Ці принципи гарантують переважну відсутність відповідальності для власників онлайн-ресурсів за незаконну діяльність або неправомірний контент, розміщений користувачами (принцип обмеженої відповідальності). Крім того, вони захищають свободу вираження поглядів користувачів в Інтернеті, запобігаючи моніторингу та контролю над створенням контенту з боку приватних онлайн-платформ.

DSA застосовує процедурний підхід для реалізації цих принципів. Замість цензурувати або визначати, який саме контент може залишатися в Інтернеті, ним визначаються конкретні процедури для виявлення незаконного або шкідливого контенту. Такий підхід отримав визначення «процедуризації відповідальності посередників» (Busch and Mak 2021). Відтак, відповідно до принципу країни походження, держави-члени можуть на власний розсуд визначати неправомірність контенту і застосовувати національні регуляторні механізми, які не суперечать основним принципам та правилам DSA. Наприклад, вимоги до ведення політичних кампаній в Інтернеті у рамках національного виборчого законодавства можуть бути приведеними у відповідність до рамок DSA і визначеного ним підходу до модерації контенту у цифровій сфері.

DSA застосовує багаторівневий підхід, за яким обсяг накладених зобов'язань залежить від типу, міри впливу та розміру ресурсів для надання посередницьких онлайн-послуг, що поділяються на три групи:

• Прості канали. Надають послуги для забезпечення обміну інформацією у комунікаційній мережі (наприклад, інтернет-провайдери, органи управління DNS, месенджери).
• Проксі-сервери. Забезпечують автоматичне, проміжне та тимчасове зберігання інформації третіх сторін (наприклад, мережі доставки контенту).
• Хостинг-провайдери. Зберігають інформацію на запит третіх сторін. Це можуть бути пошукові системи, соціальні мережі, сервіси обміну контентом, торгові платформи, дискусійні форуми, хмарні сервіси та магазини додатків. До цієї категорії відносять як онлайн-платформи, так і дуже великі онлайн-платформи.

Аби краще зрозуміти взаємозв'язок між безпекою висловлювань в Інтернеті та цілісністю виборів, у цьому звіті уваги здебільше надано дуже великим онлайн-платформам (VLOP) та дуже великим онлайн-пошуковим системам (VLOSE), тобто хостинг-провайдерам із понад 45 мільйонами активних користувачів на місяць. Такі онлайн-сервіси створюють особливі ризики щодо поширення дезінформації та неправомірного контенту. Прикладами таких провайдерів можуть бути Google (VLOSE), LinkedIn (VLOP), Facebook (VLOP), Instagram (VLOP) тощо.

Одним з головних завдань DSA є протидія поширенню незаконного контенту в Інтернеті та попередження суспільних ризиків, пов'язаних з дезінформацією. Саме тому правила вимагають від провайдерів у їхніх положеннях та умовах для користувачів докладно інформувати про будь-які обмеження, що можуть бути накладені у зв’язку з використанням послуг (Стаття 14.1 DSA), зокрема про політики модерації контенту, процедури, заходи та автоматизовані інструменти (алгоритми), що використовуються для впровадження та моніторингу дотримання таких умов і положень. Наприклад, Facebook забороняє публікацію оголених зображень, тож за користувацькими умовами будь-який оголений контент блюриться або видаляється за допомогою алгоритмічних інструментів, що не суперечить правилам DSA.

Однак будь-які обмеження мають належним чином поважати права та законні інтереси усіх залучених сторін, включно з основоположними правами користувачів, як от вільне вираження поглядів, свобода та плюралізм ЗМІ та інші закріплені у Хартії права і громадянські свободи.

Крім того, DSA вимагає від усіх хостинг-провайдерів та онлайн-платформ, незалежно від їхнього розміру, впроваджувати механізми зворотного повідомлення та вимоги вжити заходів (стаття 16 DSA), докладно і вчасно інформуючи користувачів щодо того, який саме контент може вважатися неправомірним. Іншими словами, користувачам має бути надана можливість у простий та зручний спосіб повідомляти онлайн-платформу (наприклад, Facebook) про розміщення неправомірного контенту (наприклад, заборонених правилами інтимних чи то підроблених матеріалів). І такі механізми також мають відповідати вимогам щодо обґрунтування претензії (Стаття 17 DSA) та іншим визначеним правилам для захисту прав і законних інтересів усіх зацікавлених сторін, зокрема гарантованих Хартією прав і свобод.

2.3.2. Модерація контенту для протидії гендерному насильству в Інтернеті

Такі ж самі принципи і правила DSA застосовуються в рамках Директиви ЄС про протидію насильству щодо жінок та домашньому насильству (Європейський Союз 2024c), зокрема видання розпоряджень або застосування інших заходів для видалення чи то блокування доступу до матеріалів із зображенням та будь-якими проявами гендерного насильства в Інтернеті. У разі, якщо опубліковані матеріали мають ознаки кримінального злочину, їхнє видалення або обмеження доступу має здійснюватися у прозорий спосіб та з належними гарантіями. Кримінальним кібердіянням визнається:

• розповсюдження інтимних або підроблених матеріалів без згоди особи (Стаття 5), тобто надання широкого доступу до зображень, відео чи подібних матеріалів, які зображують сексуальні дії або інтимні частини тіла особи за допомогою ІКТ без її згоди;
• кіберпереслідування (Стаття 7), що включає публічно доступну загрозливу або образливу поведінку, спрямовану на певну особу, яка завдає їй серйозної психологічної шкоди, або ж надання публічного доступу до приватних даних переслідуваної особи без її згоди;
• кіберпідбурювання до насильства або ненависті (Стаття 8) стосується суспільних закликів до насильства та ненависті, зокрема за ознакою статі, проти певної групи осіб або окремого члена такої групи шляхом публічного поширення подібного контенту за допомогою ІКТ.

У контексті виборчих процесів для таких правопорушень обтяжуючими обставинами вважається його вчинення шляхом зловживання визнаною суспільною довірою, владою або впливом (Стаття 11[m] Директиви), або якщо правопорушення вчинено проти особи через її публічне представництво (наприклад, щодо жінки-політикині).

Для цілей цієї Директиви під «компетентними органами» з повноваженнями вимагати видалення або блокування неправомірного матеріалу слід розуміти орган або органи, призначені відповідно до національного законодавства для виконання обов’язків, передбачених цією Директивою (параграф 14). Відтак, лише національне виборче законодавство може надати ОАВ повноваження вимагати видалення або блокування доступу до перелічених вище неправомірних матеріалів, пов’язаних з виборчим процесом.

2.3.3. Роль ЗМІ у демократичних виборчих процесах: модерація контенту в онлайн-медіа

Виняток із загальних правил щодо модерації контенту на VLOP у ЄС стосується порядку модерації медіаконтенту відповідно до Європейського акту про свободу медіа (EMFA) (Європейський Союз 2024b). EMFA є вертикальним регулюванням (тобто його норми та вимоги застосовуються безпосередньо і переважають над національними правилами держав-членів), і цей акт не відміняє, а доповнює регламент DSA. Відповідно до Статті 18(4), VLOP не може призупиняти або обмежувати видимість контенту від самопроголошеного постачальника медіапослуг (такого як The Guardian, The New York Times або France 24), окрім як за спеціальною процедурою, викладеною у законі. Цією нормою визнається важливість свободи преси, плюралізму ЗМІ та вільної журналістики як основних демократичних інститутів, що гарантують громадянам доступ до достовірних новин.

Навіть більшої ваги ці фундаментальні права набувають у контексті виборів. Тому, на думку законодавців ЄС, самопроголошені постачальники медіапослуг не можуть бути односторонньо заблокованими VLOP виключно на підставі користувацьких умов та положень чи то на інших окремих правових підставах (Nenadić and Brodgi 2023).

У разі наміру призупинити поширення контенту з ознаками дезінформації згідно із встановленими користувацькими умовами, VLOP має попередньо звернутися до постачальника медійних послуг із заявою з поясненням свого рішення та надати 24 години на відповідь. Протягом цього періоду VLOP не може ані видаляти, ані обмежувати поширення контенту.

Однак важливо зазначити, що ця норма не застосовується до контенту, який за законодавством ЄС вважається неправомірним, як от мова ненависті або інтимний чи підроблений матеріал, розміщений без згоди особи. Відтак неправомірний контент, розміщений постачальниками медійних послуг, підпадає під дію правил DSA та користувацьких умов онлайн-платформ. VLOP мають дотримуватися вимог Статті 9 DSA та видаляти незаконний контент на підставі розпоряджень, виданих відповідними судовими або адміністративними органами; запровадити для користувачів механізми для повідомлення про порушення з вимогою вжити заходів; інформувати компетентні національні правоохоронні або судові органи у разі виявлення ознак кримінального правопорушення на їхніх платформах; та блокувати користувачів, які зловживають їхніми послугами через поширення явно неправомірного контенту (Стаття 23 та параграф 62 DSA). Нарешті, VLOP також мають дотримуватися зобов'язань щодо оцінювання та зменшення ризиків для захисту від незаконного контенту (Nenadić і Brodgi 2023).

2.3.4. Зобов’язання належної обачності у рамках DSA: оцінка ризиків та заходи щодо їх пом’якшення

Як зазначалося раніше, DSA застосовує багаторівневий підхід, за яким обсяг накладених зобов'язань залежить від типу, міри впливу та розміру ресурсів для надання посередницьких онлайн-послуг. Зважаючи, що VLOP та VLOE віднесені до категорії найбільших хостинг-провайдерів, вони підлягають особливому унормуванню. Такі корпорації та визначені для них зобов'язання підпадають під компетенцію Європейської комісії.

Одним з найважливіших зобов'язань для VLOP та VLOE є ретельне визначення, аналіз та оцінка будь-яких системних ризиків, що виникають у результаті проєктування або функціонування їхніх платформ, включно з алгоритмічними системами, про що зазначено у Статті 34 DSA. Іншими словами, платформи мають самостійно оцінювати свої системні ризики, включно з такими:

• поширення неправомірного контенту на їхніх ресурсах;
• будь-які фактичні або передбачувані негативні наслідки для належного дотримання основоположних прав, включно із свободою вираження поглядів, плюралізмом ЗМІ та правом громадян голосувати і балотуватися на виборах;
• будь-який фактичний або передбачуваний негативний вплив на громадське обговорення і виборчі процеси; та
• будь-які фактичні або передбачувані негативні наслідки для попередження гендерного насильства.

За результатами проведеного оцінювання мають готуватися звіти з переліком найнебезпечніших та найпоширеніших ризиків за рівнем пріоритетності, а також запропонованими розумними, пропорційними та ефективними пом’якшувальними заходами на випадок інциденту. Крім того, у звітах мають бути відображені кращі практики для VLOP та VLOE, що дозволяють ефективно запобігати та пом'якшувати системні ризики. Звіти мають бути представлені відповідним регулятором цифрових послуг у державах-членах, а на запит — до Європейської комісії (стаття 34[3] DSA).

Деякі з фактичних та потенційних ризиків, серед іншого, включають: відсутність посилання на різноманітні й авторитетні джерела в онлайн-контексті; маніпулятивні техніки мікро- та нанотарґетингу; неналежне позначення політичної реклами; радикалізацію та поляризацію онлайн-просторів; дезінформаційні кампанії та мову ненависті; а також спроби впровадження цензури з боку діючих політиків або кандидатів (Reich and Calabrese 2025).

2.4. Політична онлайн-реклама: шлях до гармонізації європейського регулювання

DSA розглядає політичну рекламу в Інтернеті як один із видів онлайн-реклами та контенту. Відтак політична онлайн-реклама має відповідати як загальним правилам розміщення реклами, так і правилам модерації контенту за регламентом DSA (наприклад, користувацьким умовам, наявності механізмів повідомлення про порушення та вжиття відповідних заходів, надійному маркуванню, оцінкам системних ризиків тощо).

Стаття 3(r) DSA визначає рекламу як:

«інформацію, призначену для просування повідомлення юридичної або фізичної особи, незалежно від комерційних або некомерційних цілей такого повідомлення, і представлену на інтерфейсі онлайн-платформи за винагороду, сплачену за просування цієї інформації».

Це визначення має два ключові елементи:

• чітко згадані «некомерційні цілі» (наприклад, політичний контент) та
• вимогу щодо просування контенту «за винагороду».

Відтак органічний політичний контент (неоплачуваний контент та інформаційні потоки, що керуються алгоритмічними системами рекомендацій) не підпадає під дію правил DSA для онлайн-реклами.

І навпаки, органічний політичний контент може підпадати під дію нового європейського регламенту, TTPA (Європейський Союз 2024a). Визначення політичної реклами за регламентом TTPA включає контент, який «зазвичай поширюється за винагороду» (стаття 3[2]). Іншими словами, органічні політичні висловлювання теоретично можуть підпадати під дію цього регламенту, і це викликає занепокоєння щодо потенційних обмежень свободи вираження поглядів та політичних висловлювань в онлайн-просторі ( ARTICLE 19 2023; Heinmaa 2023).

Таке дублювання нормативних положень фактично створює колізію між двома правовими рамками і може вплинути на виконання регламенту DSA. Іншим негативним наслідком може бути виникнення проблем координації між виборчими органами, контролерами цифрових послуг та іншими регуляторними органами (як от спеціалізовані органи з питань ЗМІ), причетними до забезпечення виконання нормативних актів ЄС щодо політичної реклами в Інтернеті (Heinmaa 2023).

Як зазначалося раніше (див. розділ 2.1.5), DSA вимагає від VLOP та VLOE не тарґетувати онлайн-рекламу за допомогою профілювання на основі аналізу спеціальних категорій персональних даних (політичні погляди, сексуальна орієнтація або етнічне походження). Це правило впливає на методи залучення цільових аудиторій та майже персоналізовану доставку політичної реклами; однак його впровадження не мало бажаного ефекту. Завдяки механізмам, що їх використовують великі технологічні компанії для моніторингу та вилучення контенту і збору поведінкових даних, навіть за відсутності профілювання на основі аналізу спеціальних категорій даних, тарґетована реклама як така надалі може залишатися дозволеним інструментом ( Duivenvoorde і Goanta 2023: 9–10 ).

Техніки тарґетування та доставки реклами передбачають збір персональних даних, включно з поведінковими (але не чутливими даними), які однак можуть розкривати певні чутливі аспекти користувачів (Becker Castellaro and Penfrat 2022). Крім того, відповідно до DSA, TTPA та Кодексу поведінки щодо протидії дезінформації, винятком із заборони може бути чітко заявлена згода суб’єкта на обробку його персональних даних для цілей політичної реклами (Європейська комісія 2025c).

Низка організацій громадянського суспільства, разом з Європейською радою із захисту даних, Комітетом з питань внутрішнього ринку та захисту споживачів Європейського парламенту (2023) та студентською спілкою Juneja (2024), рекомендували заборонити методи мікротарґетингу як такі, що використовують особливі категорії чутливих даних для політичних цілей. Ця рекомендація спрямована на зменшення ризиків поляризації, перешкоджання створенню «ехокамер» та поширенню дезінформації методами тарґетування і доставки реклами (Becker Castellaro та Penfrat 2022).

Однак така заборона не була включена ані до DSA, ані до TTPA.

2.4.1. Прозорість політичної реклами

Прозорість та достовірні дані про поширювану політичну рекламу мають вирішальне значення для оцінки відповідальності онлайн-платформ у протидії дезінформації. Певні вимоги прозорості вже передбачені DSA та Кодексом поведінки щодо дезінформації, зокрема зобов’язання позначати політичну рекламу для користувачів, створювати репозиторії реклами, взаємодіяти з організаціями громадянського суспільства, а також забезпечувати доступ до даних платформ для проведення моніторингу і розслідувань (Європейська комісія 2025c).

У європейській правовій системі прозорість політичної реклами в Інтернеті забезпечується низкою нормативних актів, включно з Кодексом поведінки щодо дезінформації, якими визначаються відповідні заходи та зобов’язання суб’єктів правового регулювання з метою надати громадянам можливість легко розпізнавати політичну онлайн-рекламу.

Наразі TTPA є найважливішим правовим джерелом для розуміння заходів прозорості, що їх онлайн-платформи мають впроваджувати для розміщення політичної реклами. Згідно з положеннями Статті 8 TTPA, ідентифікація політичної реклами має включати такі елементи: (a) зміст повідомлення; (b) спонсор повідомлення; (c) мова поширюваного повідомлення; (d) контекст та період поширення повідомлення; (e) засоби, за допомогою яких виробляється, розміщується, просувається, публікується, доставляється або поширюється повідомлення; (f) цільова аудиторія; та (g) мета повідомлення.

Стаття 7 TTPA вимагає від спонсорів (наприклад, політиків або політичних партій) заявляти про політичний характер реклами, а постачальники послуг (як от VLOP або VLOSE) мають запитувати у спонсора всю необхідну для дотримання правових вимог інформацію після такої заяви. Іншими словами, обов’язок заявляти про політичний характер реклами покладається на спонсорів. Однак організації громадянського суспільства попереджають про можливість уникнення зобов'язань щодо прозорості як спонсорами, так і онлайн-платформами, якщо вони просто не зазначать, «що розміщувана ними реклама є політичною» (Calabrese 2024a: 3).

Крім того, TTPA передбачає створення Європейською комісією публічного репозиторію політичної онлайн-реклами, яка поширюється у країнах Європейського Союзу. Вся інформація має бути загальнодоступною на єдиному порталі у машиночитаному форматі. Для забезпечення прозорості, про кожну подію політичної онлайн-реклами має бути надана така інформація (Стаття 12[1)] TTPA):

TTPA визначає конкретні повноваження виборчих органів для забезпечення дотримання вимог. Відповідно до статті 16, ОАВ («національні компетентні органи») можуть вимагати від постачальників послуг політичної реклами (таких як VLOP та VLOE) надавати їм будь-яку зазначену вище інформацію. Термін виконання цих вимог становить від 2 до 12 днів, залежно від розміру компанії постачальника. В останній місяць перед днем голосування на виборах або референдумі постачальники послуг політичної реклами має надавати запитувану інформацію протягом 48 годин.

Крім того, кожен постачальник послуг політичної реклами, включно з VLOP та VLOE, має призначити контактну особу для взаємодії з компетентними національними органами. Вищезазначені дані також можуть надаватися перевіреним перевіряльникам, організаціям громадянського суспільства, політичним діячам, національним або міжнародним спостерігачам та журналістам.

2.4.2. Доступ до даних для перевірки згідно з вимогами DSA та TTPA

DSA дозволяє і встановлює правила перевірки та вивчення даних третіми сторонами (доступ до даних). За визначенням Європейської комісії (2024c), «постійний та надійний доступ до даних для перевірки третіми сторонами має надзвичайно важливе значення під час проведення виборів для забезпечення прозорості, кращого розуміння та сприяння подальшому розвитку запобіжних заходів щодо пов’язаних з виборами ризиків». Окрім виконання юридичних зобов'язань, визначених Статтею 40 DSA, Комісія рекомендує VLOP та VLOS забезпечити вільний доступ до даних для вивчення ризиків, пов'язаних з виборчими процесами, включно з ретельним аналізом використання моделей штучного інтелекту, візуальних інформаційних панелей та інших додаткових даних.

Доступ до даних забезпечить систему стримувань і противаг у дотриманні онлайн-платформами вимог DSA та TTPA , а відтак попереджатиме поширення неправомірного контенту і дезінформації. Такий доступ дозволяє перевіреним перевіряльникам оцінювати системні ризики для виборчих процесів та вільного громадського обговорення (серед іншого, FIMI, дезінформації та мови ненависті) і розробляти обґрунтовані політики для зменшення цих ризиків в онлайн-середовищі (див. 3.4.1. Роль ОАВ в оцінюванні та пом’якшенні ризиків у рамках DSA: Зобов'язання належної обачності VLOP та VLOES у виборчих процесах).

Крім того, держави-члени мають призначити національний компетентний орган, відповідальний за ведення загальнодоступних та машиночитаних онлайн-реєстрів усіх зареєстрованих на їхній території юридичних представників, що підпадають під дію TTPA. Кожен національний компетентний орган зобов'язаний забезпечити належну доступність, повноту та регулярне оновлення такої інформації (стаття 22 TTPA). У цій частині TTPA визначає обмежений перелік повноважень компетентних органів, а саме:

TTPA наголошує на важливості «регулярного обміну інформацією» між призначеними державами-членами національними уповноваженими і усіляко підтримує обмін провідним досвідом та співробітництво між національними органами влади та Європейською Комісією в усіх аспектах впровадження Регламенту. Таке співробітництво передбачає ефективну взаємодію з Європейською мережею співпраці з питань виборів, Європейською групою регуляторів аудіовізуальних медіапослуг та іншими відповідними мережами чи то установами. Крім того, національні органи влади можуть проактивно взаємодіяти з іншими національними зацікавленими сторонами для підтримки впровадження і дотримання Регламенту TTPA.

Попри важливу ОАВ у взаємодії з онлайн-платформами та надане їм право на запит інформації з репозиторіїв політичної реклами, головним компетентним наглядовим органом, відповідальним за дотримання онлайн-посередниками зобов’язань щодо прозорості політичної реклами, визнається відповідний координатор цифрових послуг або Європейська комісія (залежно від того, чи визначаються платформи як VLOP або VLOE). Крім того, координатор цифрових послуг має забезпечувати належну координацію з країнами-членами для впровадження заходів щодо прозорості на національному рівні.

2.5. Штучний інтелект і його вплив на цілісність виборів

Акт про штучний інтелект (Європейський Союз 2024d) є горизонтальним регламентом, який поширюється на системи ШІ, розміщені на європейському ринку. Загальний виняток застосовується до систем ШІ, які використовуються для національної безпеки. Основною метою його впровадження є забезпечення безпечного та прозорого використання таких систем з дотриманням основоположних прав людини. Регламент використовує підхід, заснований на ризиках (risk-based approach), тобто оцінює і класифікує системи ШІ за рівнем ризику, який вони становлять для суспільства та прав особи.

Акт про ШІ підтримує основоположні цінності ЄС — демократію та повагу до основних прав і свобод (Bogucki et al. 2022). Він також створює нормативно-правову рамку, яка враховує потенційні ризики від використання систем ШІ для цілісності виборів та гарантує, що технологічний прогрес не зашкодить демократичному процесу.

Регламент розрізняє різні категорії пов’язаних із системами ШІ операторів — постачальників, розробників, імпортерів, дистриб'юторів та виробників продукції на основі штучного інтелекту. Виборчі органи можуть підпадати під одну або декілька з цих категорій.

За визначенням Статті 3(3) Акту про ШІ, постачальники — це фізичні або юридичні особи, державні органи, агентства або інші установи, які розробляють системи ШІ самостійно або виступають у ролі замовника, виводять їх на ринок Союзу або вводять в експлуатацію під своїм ім'ям чи то торговою маркою. Деплоєри (або впроваджувачі) — це фізичні або юридичні особи, державні органи, агентства або інші установи, які керують впровадженням систем ШІ, за винятком випадків, коли використання цих систем відбувається в особистих, непрофесійних цілях.

Акт про ШІ має регуляторний вплив на використання систем ШІ у контексті виборів; і тут основним завданням є сприяння розвитку ШІ як надійного допоміжного інструмента з одночасним захистом демократичних принципів, верховенства права та основоположних прав, як от права голосу та вільної участі у виборах. Актом про ШІ передбачено диференційоване законодавче регулювання використання ШІ залежно від так званої «зони ризику» для здоров'я, безпеки та основоположних прав громадян. Відтак законом визначаються чотири категорії:

1. Неприйнятний ризик: Системи ШІ, які створюють явну загрозу важливим суспільним інтересам Союзу, що захищаються чинним законодавством ЄС (наприклад, соціальний скоринг⁷ або маніпулятивний ШІ). Зважаючи, що такі системи не можна розробляти, продавати або використовувати у ЄС, вони підпадають під повну заборону згідно зі Статтею 5 Акту про ШІ.
2. Високий ризик: Дозволені системи ШІ, до яких застосовується вимога щодо попередньої оцінки відповідності, включно з оцінкою ризиків та заходами для їхнього пом’якшення (Стаття 6 Акту про ШІ).
3. Обмежений ризик: Системи ШІ, до яких застосовуються конкретні зобов’язання щодо прозорості (Параграф 53 Акту про ШІ).
4. Мінімальний ризик: Системи ШІ, які переважно не підпадають під правове унормування.

У контексті виборів певні системи ШІ заборонені законом, зокрема такі, що використовують підсвідомі маніпуляції для впливу на поведінку людини і можуть заподіяти значної шкоди, а також системи ШІ, які експлуатують уразливості або використовують біометричну категоризацію для визначення, серед іншого, раси, політичних поглядів, релігійних або світоглядних переконань людини.

Однак організації громадянського суспільства висловили занепокоєння щодо такого підходу до заборони систем ШІ. Наприклад, Європейське партнерство за демократію стверджує, що «дуже важко довести наявність реального ризику в контексті виборів, оцінити його як «неприйнятний» або «високий» та довести рівень ймовірності заподіяної шкоди» (Calabrese 2024b: 3). Наприклад, системи ШІ, які випадково видають так звані «галюцинації», тобто генерують неправильну або вигадану інформацію, що може вводити в оману користувачів, не підпадають під цю категорію, адже вони не вважаються «маніпулятивними техніками», відтак не підпадають під заборону згідно з Актом про ШІ (Європейська комісія 2025b: 29).

Деякі системи ШІ, які використовуються для адміністрування правосуддя та в інших демократичних процесах, класифікуються як високоризикові. У контексті виборів, Додаток III, пункт 8(b) Акту про ШІ окремо визначає, які системи ШІ підпадають під заборону:

«Системи ШІ, призначені для впливу на результати виборів чи то референдумів, або на поведінку фізичних осіб під час голосування на виборах і референдумах. Це не стосується тих систем ШІ, на результати роботи яких не мають прямого впливу жодні фізичні особи, як от цифрові інструменти, що використовуються для організації, оптимізації або структурування політичних кампаній з адміністративної та логістичної точки зору».

Звичайно, потенційні ризики згаданих систем не обмежуються викладеним. Наприклад, системи ШІ з техніками мікро тарґетингу та підсилення повідомлень можуть вважатися «призначеними для здійснення впливу на вибори», адже вони використовуються з метою безпосередньо вплинути на результати голосування. Натомість організаційні системи ШІ для реєстрації та ідентифікації виборців, управління списками виборців та прогнозування логістичних виборчих витрат, серед іншого, не підпадають під цю категорію. Знов-таки, у таких випадках критичним елементом для оцінки ризику та потенційно завданої шкоди має бути намір вплинути на людську свідомість (Calabrese 2024b).

Наприклад, чат-боти ОАВ для інформування громадян про вибори потенційно можуть надавати маніпулятивну інформацію, яка впливає на поведінку виборців. Однак ці чатботи будуть класифіковані радше як організаційні системи, відтак не підлягатимуть оцінюванню ризиків та, відповідно, вимогам щодо впровадження заходів для пом’якшення ризиків або ж реєстрації у публічній базі даних ЄС.

Проте, якщо такі системи створюються з визначеною метою вплинути на вибори або референдум, або на поведінку виборців (наприклад, за допомогою мікро тарґетнгу цільових груп та технік посилення впливу) і використовуються органами публічного права або приватними суб’єктами, які надають публічні послуги, вони мають пройти процедуру оцінки потенційного впливу на основоположні права громадян. Однак у разі з державними органами та залученими до надання публічних послуг суб’єктами, процес оцінки не передбачає консультацій із зовнішніми зацікавленими сторонами.

З іншого боку, Актом про ШІ унормовується синтетичний аудіо-, відео- та текстовий контент, створений за допомогою ШІ. Правила вимагають від систем, які генерують подібний контент, обов’язкового машинозчитуваного позначення такого контенту як штучно згенерованого або переробленого. Користувачі систем, які генерують або редагують зображення, аудіо- або відеоконтент (наприклад, створюють дипфейки), завжди мають чітко зазначати, що контент є штучним або підробленим. Іншими словами, згенерований ШІ контент завжди має бути позначений як такий.

Акт не містить прямої згадки про дипфейки або гендерно обумовлені нападки на жінок-політикинь у контексті виборів. Тут найбільш відповідну правову базу для захисту від контенту, створеного за допомогою штучного інтелекту і спрямованого на підбурювання до гендерного насильства, забезпечує Директива ЄС про протидію насильству щодо жінок та домашньому насильству (Європейський Союз 2024c) (див. 2.3.2: Модерація контенту для протидії гендерному насильству в Інтернеті).

Як зазначалося у попередньому розділі, acquis ЄС у сфері цифровізації є однією з найамбітніших світових ініціатив із створення комплексної правової екосистеми для унормування цифрових послуг, захисту даних та онлайн-контенту. Центральним елементом цієї системи є узгоджена архітектура правозастосування для забезпечення належного нагляду на рівні ЄС та значною мірою на рівні держав-членів через гармонізацію національного законодавства.

Цей розділ буде присвячений аналізу та роз’ясненню проблемних питань цієї нової архітектури, зокрема в частині правозастосування та взаємодії між національними та союзними органами влади у контексті виборів. Сподіваємося, це допоможе політикам та органам спостереження за виборами краще розуміти вимоги щодо належного дотримання встановлених регламентів та відповідних стратегій правозастосування.

Окремо будуть розглянуті проблеми з реалізацією низки правових норм та координацією зусиль, особливо важливих у контексті виборів. У розділі представлені практичні висновки та конкретні рекомендації, зроблені на основі вивчення досвіду європейських виборчих комісій. Нарешті, тут наведені приклади міжвідомчої і транснаціональної координації, ефективних практик та типових перешкод, що виникають у процесі впровадження і забезпечення належного дотримання регламентів під час проведення виборів.

3.1. Впровадження заходів для захисту даних у контексті виборів

GDPR по суті запропонував проміжну модель правозастосування, побудовану за горизонтальним принципом, що створило виклики для належного впровадження регламенту на рівні усіх країн-членів, тож винесені уроки наразі впливають на подальше удосконалення норм та правил ЄС у сфері цифровізації.

Правозастосування GDPR здебільшого покладається на національні наглядові органи, більше відомі як органи із захисту даних, які здійснюють контроль та нагляд за безпосередніми так званими «контролерами», що збирають і обробляють дані у межах своєї юрисдикції. Крім того, ці органи уповноважені розслідувати та притягати до відповідальності за порушення норм GDPR, включно з тими, що трапляються у виборчому контексті (Європейська комісія, без дати).

3.1.1. Європейська рада із захисту даних та Європейський інспектор із захисту даних

На рівні ЄС існує низка важливих механізмів, які забезпечують єдині стандарти захисту даних як на союзному рівні, так і на рівні держав-членів. Європейська рада із захисту даних (EDPB), до складу якої входять керівники відповідних національних органів із захисту даних, та Європейський інспектор із захисту даних мають власну правосуб'єктність і відповідають за забезпечення послідовного правозастосування GDPR та Директиви про захист даних у всій Європі (стаття 68 GDPR). Вони також забезпечують взаємодію між союзними та національними органами, зокрема щодо забезпечення дотримання GDPR.

EDPB видає загальні настанови, формулює керівні принципи, пропонує рекомендації та кращі практики для гармонізації національних законодавств із чинною правовою базою ЄС про захист даних (Європейська рада з захисту даних, без дати). Наприклад, у березні 2019 року EDPB опублікувала Заяву 2/2019 про використання персональних даних у політичних кампаніях, наголосивши, що дотримання GDPR має вирішальне значення для цілісності демократичного процесу, зважаючи на дедалі ширше використання політичними партіями персональних даних та технік профілювання у сучасних виборах (Європейська рада з захисту даних 2019). EDPB також реагує на конкретні проблеми, як от на суперечливий план Польщі щодо винятково поштового голосування у 2020 році (Wanat 2020). Європейська рада із захисту даних оприлюднила лист, у якому наголосила, що будь-яке передавання або обробка даних виборців може відбуватися лише на надійних правових засадах, і будь-які рішення мають відповідати вимогам GDPR щодо безпеки та прозорості; окремо наголошувалося, що будь-які пов’язані з виборами надзвичайні заходи не можуть переважати над основними принципами захисту даних (Європейська рада з захисту даних 2020a).

Якщо національні вибори не входять до сфери компетенції Європейського інспектора із захисту даних, то під час проведення виборів до Європейського парламенту саме він здійснював нагляд за захистом даних у виборчому процесі. Яскравим прикладом стало розслідування щодо залучення послуг американської компанії NationBuilde для реалізації мотиваційно-просвітницької кампанії для виборців на сайті Європейського парламенту в 2019 році. Європейський інспектор із захисту даних визнав, що Парламент не забезпечив дотримання вимог (зокрема щодо прозорості та гарантій передавання даних третій стороні), і виніс своє перше в історії зауваження центральному органу ЄС. Усі дані, зібрані через вебсайт компанії, були згодом перенесені на власні сервери Парламенту, а Європейський інспектор із захисту даних домігся від інституцій ЄС зобов’язання надалі «бути зразковим прикладом» у захисті персональних даних під час виборів (Європейський інспектор з захисту даних, 2020).

Однак, зважаючи на транскордонний характер обробки даних, цей процес вимагає одночасного дотримання вимог різними державами-членами, відтак особливого значення набуває взаємодія між низкою відповідних національних органів (Mustert 2023). Тому GDPR передбачає механізм для координації дій національних органів із захисту даних, що дозволяє їм узгоджувати процедури правозастосування у транскордонних випадках (Mustert 2023). За необхідності Європейська рада із захисту даних може втрутитися для вирішення суперечок між залученими національними органами, і винесене нею рішення є обов’язковими до виконання (стаття 65 GDPR).

У сучасних виборчих кампаніях часто використовуються онлайн-платформи (як от соціальні та рекламні мережі) з іноземною або міжнародною юрисдикцією. Для таких випадків застосовується «механізм єдиного вікна» GDPR для призначення провідного органу з питань захисту даних (наприклад, Комісії з питань захисту даних Ірландії для Facebook) для проведення відповідного розслідування (Європейська рада з питань захисту даних n.d.b). Однак у разі якщо очікування на рішення провідного органу може поставити під загрозу проведення виборів, чинні органи із питань захисту даних можуть самостійно вживати термінових заходів для усунення порушень. Наприклад, під час загальних виборів в Італії у 2022 році національний орган (Garante) застосував положення Статті 66 GDPR, зобов’язавши Meta (Facebook) призупинити роботу нової системної функції для залучення виборців, доки не будуть вирішені усі питання щодо законності та прозорості. Garante координувала свої дії з Ірландською комісією із захисту даних, однак не отримала вчасно задовільних відповідей, тож самостійно винесла офіційне попередження та наклала тимчасову заборону на використання цієї системної функції в Італії (GDPR Hub 2023).

Підсумовуючи, можна сказати, що під час виборів саме національні органи із захисту даних тримають лідерство у правозастосуванні, вдаючись до розслідування порушень та застосування санкцій у межах своєї юрисдикції. На рівні ЄС Європейська комісія, Європейська рада із захисту даних та Європейський інспектор із захисту даних надають роз’яснення та рекомендації, сприяють взаємодії та можуть втручатися у конкретні транскордонні або інституційні справи.

3.2. Виклики транскордонної координації

Комплексний механізм забезпечення дотримання законодавства — зокрема необхідність багаторівневої транскордонної координації — зазнає критики через свою процедурну складність, яка створює значні виклики у практичному застосуванні (Gentile and Lynskey 2022; Mustert 2023; Mildebrath 2024). У Статтях 57 та 58 GDPR визначається стандартизований перелік завдань і повноважень для наглядових органів, водночас залишаючи невизначеними численні процедурні кроки, що мають ухвалюватись на національному рівні. Така дискретність призвела до непослідовності практик правозастосування у державах-членах ЄС, зокрема щодо здійснення офіційних розслідувань, їхнього обсягу та суворості вжитих коригувальних заходів ( Gentile and Lynskey 2022; Mustert 2023).

Процедурна фрагментованість ускладнює окреслення чітких меж між прийнятними національними відмінностями та практиками, підриваючи принципи ЄС щодо ефективності, пропорційності та стримувального характеру вжитих заходів. Наприклад, національні правила з обмеженими строками подання скарги або стратегії накладання штрафів, значно більших за максимально передбачені у GDPR, створюють практичні перешкоди для ефективної реалізації прав суб’єктами даних ( Gentile and Lynskey 2022: 806–07; Mustert 2023).

Іншим структурним недоліком, притаманним архітектурі правозастосування GDPR, є побудована за горизонтальним принципом децентралізована система, що може ускладнювати транскордонну співпрацю та створювати конфлікти і суттєві затримки у прийнятті рішень (Gentile and Lynskey 2022: 800). Саме цей недолік може звести забезпечення дотримання Регламенту до загального мінімального стандарту. Крім того, інституційні дисбаланси — коли головний наглядовий орган може чинити непропорційний вплив на результати розгляду справ — можуть послабити авторитет інших зацікавлених органів (Gentile and Lynskey 2022: 809, 811).

Процедурна неузгодженість також негативно впливає на вертикальну співпрацю з Європейською радою із захисту даних (EDPB), яка не має незалежних повноважень для проведення розслідувань і покладається винятково на національні наглядові органи для отримання вичерпної та своєчасної інформації по справах. Невчасно надана або неповна інформація від національних органів часто підриває механізм вирішення спорів самої EDPB, що лише подовжує затримки та збільшує невідповідність у результатах правозастосування (Gentile and Lynskey 2022; Mustert 2023).

Європейська парламентська служба з проведення розслідувань також визначає процедурну неузгодженість та недостатню чіткість як критичну проблему, що перешкоджає ефективному застосуванню GDPR. Неоднозначні процедурні правила можуть посилити розбіжності у поглядах різних наглядових органів і перешкоджати швидкому винесенню єдиного узгодженого рішення у транскордонних справах. Відтак служба рекомендувала провести необхідні реформи для уточнення процедурних зобов'язань, посилення ролі відповідних органів та забезпечення послідовних і своєчасних рішень для належного правозастосування в усіх державах-членах (Mildebrath 2024).

Науковці та практики також закликають до подальшої гармонізації певних процедурних аспектів. Рекомендовані заходи включають стандартизацію критеріїв прийнятності скарг, обов’язкове ухвалення юридично зобов’язуючих рішень за результатами розгляду скарг, які надалі можуть бути оскаржені у судовому порядку, а також уточнення обов’язків щодо взаємодії (зокрема, своєчасного обміну вичерпною інформацією) та досягнення попереднього консенсусу стосовно обсягу розслідування і постійного інформування про перебіг справи (див., наприклад, Mustert 2023).

3.3. Обробка даних органами адміністрування виборів (ОАВ)

Як зазначалося раніше, ОАВ — незалежні виборчі комісії, національні міністерства або місцеві органи влади — відповідають за обробку основних виборчих даних, головним чином за реєстрацію виборців та пов’язані з цим процеси. Відтак, згідно з GDPR, виборчі органи (які зазвичай є державними установами) визнаються «контролерами» даних і несуть повну відповідальність за дотримання відповідних правових вимог.

3.4. Роль ОАВ у забезпеченні дотримання регламенту DSA та у міжвідомчій координації

DSA використовує дворівневий механізм правозастосування — як на національному рівні, так на рівні ЄС. Відтак запроваджується модель «багаторівневої відповідальності» з розподілом обов'язків між національними органами влади та органами на рівні ЄС, залежно від розміру постачальників та впливу цифрових послуг. На практиці це означає, що повсякденний нагляд за діяльністю більшості онлайн-посередників здійснюється регуляторними органами, тобто координаторами цифрових послуг у кожній окремій державі-члені, а найбільші платформи — VLOP та VLOE — безпосередньо контролює Європейська комісія. Такий дворівневий підхід вимагає тісної координації між національними регуляторними органами та Комісією, особливо під час проведення виборів, коли дезінформація або незаконний контент в Інтернеті можуть загрожувати демократичним процесам.

Для забезпечення координації та узгодженості у цій дворівневій системі DSA також створює новий орган — очолювану Європейською комісією Європейську раду з цифрових послуг, до складу якої входять представники національних регуляторних органів (координатори цифрових послуг). Рада була створена як незалежна консультативна група, що об’єднує усіх національних координаторів цифрових послуг (по одному представнику від кожної держави-члена) з Європейською Комісією і забезпечує колективні зусилля в інтересах ЄС. Вона створена за моделлю Європейської ради із захисту даних (EDPB) і так само координує зусилля різних країн для правозастосування узгодженого законодавства на єдиному ринку Союзу.

3.4.1. Роль ОАВ в оцінюванні та пом’якшенні ризиків у рамках DSA: зобов'язання належної обачності VLOP та VLOE у виборчих процесах

Як зазначається у Статті 34 DSA, одним із найважливіших зобов'язань VLOP та VLOE є ретельне виявлення, аналіз та оцінка будь-яких системних ризиків, що виникають у результаті проєктування або надання ними послуг, включно з алгоритмічними системами.

Аби допомогти VLOP та VLOE сумлінно виконувати це зобов'язання, 26 березня 2024 року Європейська комісія опублікувала керівні принципи, спрямовані на зменшення системних онлайн-ризиків, які впливають на вибори, відповідно до регламенту DSA (Європейська комісія 2024b). Ці настанови рекомендують VLOP та VLOE усувати ризики для цілісності виборів шляхом сприяння прозорості політичної реклами, протидії дезінформації та створеному ШІ контенту, а також посилювати співпрацю з відповідними органами влади для забезпечення виконання Регламенту з одночасним захистом свободи вираження поглядів (Європейська комісія 2024b).

Керівні принципи пропонують заходи, що охоплюють повний виборчий цикл — передвиборчий, виборчий та післявиборчий періоди — і застосовуються на місцевому, регіональному, національному та європейському рівнях. У керівних принципах наголошується на таких системних ризиках, як FIMI, поширення контенту для підживлення екстремізму та радикалізації, а також маніпулятивного контенту, створеного за допомогою інструментів штучного інтелекту (наприклад, дипфейків). Цей перелік не є вичерпним, і ОАВ разом з іншими органами влади можуть визначати інші системні ризики для цілісності виборів.

Європейська Комісія також закликає до посилення внутрішніх процесів контролю під час проведення виборів, водночас наголошуючи на необхідності поширення корисної інформації для учасників виборів. Тому VLOP та VLOE мають збирати і висвітлювати важливу для виборчих процесів інформацію: програми, події чи то заяви політичних партій; офіційну інформацію про вибори від ОАВ, зокрема з роз’ясненням процедури голосування та ключових правових аспектів; та посилання на офіційні канали комунікації. Крім того, VLOP та VLOЕ заохочуються до збору контекстної інформації та аналізу ризиків на національному, регіональному та місцевому рівнях з урахуванням конкретних умов проведення виборів (Європейська комісія 2024b). Відтак VLOP та VLOSЕ мають створити «спеціалізовані внутрішні команди з чітко визначеними завданнями» (Європейська комісія 2024b), які взаємодіятимуть з ОАВ для зміцненням демократичних виборчих процесів на місцевому, регіональному та національному рівнях.

Комісія також закликає до впровадження Кодексу практик щодо дезінформації (механізм внутрішнього регулювання, оновлений у 2022 році на основі рекомендацій Європейської комісії, а у 2025-му інтегрований до Акту про цифрові послуги (DSA) як Кодекс поведінки щодо дезінформації, Європейська Комісія 2025d) та інших відповідних галузевих кодексів ЄС, як от Кодексу поведінки щодо протидії забороненій мові ненависті в Інтернеті, кращих практик у рамках Незалежної від контенту системи забезпечення цілісності виборів для онлайн-платформ, а також рекомендацій організацій громадянського суспільства та інших зацікавлених сторін. Керівні принципи, серед інших, передбачають такі заходи: (a) ініціативи з медіаграмотності; (b) фактчекінг; (c) позначення акаунтів та контенту, створеного за допомогою штучного інтелекту; (d) позначення офіційних акаунтів; і (e) допоміжні інструменти та інформація для користувачів для оцінювання надійності джерел інформації (Європейська комісія 2024b).

Комісія також наголошує на важливості взаємодії та структурованого діалогу між національними органами влади, включно з ОАВ та координаторами цифрових послуг, наприклад, через забезпечення регулярних каналів комунікації між зацікавленими сторонами, розробку механізмів реагування на інциденти та створення робочих груп для координації зусиль ключових зацікавлених сторін у виборчому процесі.

3.4.2. Кодекс поведінки щодо дезінформації як зобов’язання належної обачності для виявлення та пом’якшення системних ризиків у громадському дискурсі та виборчих процесах

Як згадувалося раніше, VLOP та VLOE зобов'язані проводити оцінювання для виявлення та пом’якшення системних ризиків на своїх платформах, включно з поширенням дезінформації. Аби допомогти їм сумлінно виконувати це зобов'язання, Європейська рада з цифрових послуг інтегрувала добровільний Кодекс практик щодо дезінформації до Акту про цифрові послуги (DSA). Інакше кажучи, Кодекс практик став еталоном дотримання вимог DSA у виявленні та зменшенні системних ризиків дезінформації.

Кодекс забезпечує структуровану базу з більш детальними та технічними рекомендаціями, включно з конкретними кількісними та якісними ключовими індикаторами ефективності, які можуть бути використані платформами для протидії поширенню і впливу дезінформації. Підписанти Кодексу погоджуються впроваджувати низку заходів для пом’якшення ризиків, як от демонетизація джерел дезінформації, забезпечення прозорості політичної реклами, підтримка цілісності послуг та розширення можливостей користувачів і фактчекерів.

Кодекс поведінки розглядає дезінформацію у виборчі періоди як один з ключових викликів, однак ОАВ відведено мінімальну роль у забезпеченні впровадження та дотримання кодексу як такого. Однак певні його положення можуть перетинатися з інтересами та компетенціями виборчих органів. До прикладу, у рамках «зобов’язань громадянського суспільства» підписанти мають посилити нагляд за політичною рекламою в Інтернеті, вживати спільну термінологію стосовно маніпулятивних дій та практик , а також надавати докази щодо використання недоброчесних тактик, технік і процедур. Та попри це перетинання, ОАВ не відведено офіційної ролі у рамках кодексу.

Однак виборчі органи можуть певним чином впливати на рішення Постійної робочої групи з питань Кодексу — головного органу, відповідального за моніторинг виконання його положень (Зобов’язання 37). Наприклад, для протидії поширенню дезінформації в Інтернеті робоча група має залучати «до [своєї] діяльності відповідних експертів … та … [організовувати] обмін інформацією з третіми сторонами, інформувати їх про останні події та збирати відомості, пов’язані з дезінформацією як явищем» (Європейська комісія 2025c). Кодекс також закликає підписантів «співпрацювати та координувати свою роботу в особливих ситуаціях, як от вибори або кризи» (Захід 37.2). Відтак виборчі органи можуть виступати за свою участь у таких обговореннях або ж пропонувати спільні заходи з Європейською мережею співпраці з питань виборів, прагнучи більш активної ролі та використання набутого досвіду у виборчих питаннях.

3.4.3. Можливості правозастосування для виборчих органів у рамках DSA

Попри те що Актом про цифрові послуги перш за все унормовується діяльність онлайн-посередників, він також створює потенційні нові ролі та обов'язки для ОАВ у сфері нагляду за політичними кампаніями в Інтернеті. ОАВ можуть адаптувати свої правові та операційні практики у спосіб, що дозволить їм скористатися механізмами DSA для ефективної боротьби з дезінформацією та мовою ворожнечі в Інтернеті.

3.5. Міжвідомча координація

У контексті впровадження заходів з пом’якшення ризиків для виборчих процесів на національному рівні самими VLOP та VLOE, Європейська рада з цифрових послуг та Європейська комісія підготували Добірку інструментів DSA для координаторів цифрових послуг у виборах. Спираючись на Керівні принципи Комісії у проведенні демократичних виборів, пропонована добірка інструментів окреслює заходи для забезпечення цілісності виборчих процесів, зокрема для протидії поширенню мови ненависті, дезінформації та оманливого контенту, створеного за допомогою штучного інтелекту, або ж інших форм FIMI.

Згідно з представленими рекомендаціями, роль координаторів цифрових послуг спирається на чотири основні принципи: (a) управління зацікавленими сторонами через налагодження взаємодії для обміну знаннями та ресурсами; (b) комунікація та медіаграмотність через інформування, просвіту та побудову довіри; (c) моніторинг та аналіз пов’язаних з виборами ризиків через сприяння громадському контролю й оцінюванню ефективності заходів VLOP і VLOE щодо зменшення ризиків; та (d) реагування на інциденти завдяки підготовці, швидкій взаємодії та належній підтримці під час кризи.

За усіма чотирма напрямками слід заохочувати ОАВ відігравати центральну роль у забезпеченні цілісності виборів та посилювати інституційну експертизу у співпраці з ключовими зацікавленими сторонами для зміцнення їхнього потенціалу щодо захисту та збереження цілісності виборчої інформації в Інтернеті, зокрема протидіяти операціям з поширення дезінформації, мови ненависті, FIMI тощо.

Міжвідомча взаємодія координаторів цифрових послуг, ОАВ та інших відповідних органів створює можливості для усунення існуючих прогалин в адмініструванні виборів з одночасним набуттям ОАВ нового інституційного досвіду. Для наближення такої перспективи Міжнародний інститут демократії та сприяння виборам (International IDEA) розробив модель міжвідомчої взаємодії у сфері кібербезпеки (van der Staak and Wolf 2019), яку можна адаптувати і застосовувати для пом’якшення інших ризиків у виборчих процесах.

Стосовно впровадження DSA, Європейська комісія вже розпочала розробку «архітектури міжвідомчої комунікації», відображену у нашій піраміді як «рівні міжвідомчої взаємодії» (див. Рисунок 3.1). Європейська рада із цифрових послуг створила робочу групу із забезпечення цілісності інформаційного простору, що також охоплює виборчі процеси, FIMI, дезінформацію та інші види громадського обговорення (Європейська комісія 2025a). Робоча група має допомогти усім зацікавленим сторонам отримати спільне розуміння оцінки ризиків та створити дієві механізми для запобігання і реагування на потенційні інциденти у координації з ОАВ. Ключову роль тут може відігравати Європейська мережа співпраці з питань виборів. Хорошим прикладом для наслідування є організація навчання з кібербезпеки для оцінки ризиків та підсилення цільових антикризових заходів під час проведення європейських виборів, що демонструє важливість та позитивні результати міжвідомчої взаємодії для захисту цілісності виборів в Європі.

Підсумовуючи, захист цілісності виборчої інформації є складним і довгостроковим завданням, що вимагає координації дій різних національних і європейських інституцій для обміну провідним досвідом, інформацією та ресурсами, а також для забезпечення ситуаційної обізнаності. Спільні зусилля ОАВ, координаторів цифрових послуг та онлайн-платформ можуть сприяти посиленню стійкості усіх зацікавлених сторін для належної відповіді на основні цифрові виклики для цілісності виборів.

3.6. Роль виборчих органів у рамках Закону про штучний інтелект

Стосовно інституційного забезпечення належної реалізації законодавства, Акт про ШІ (Стаття 70) вимагає від кожної держави-члена ЄС призначити національний наглядовий орган для відповідного впровадження та нагляду. Зазвичай ОАВ не виступають у ролі такого наглядового органу, однак активно залучаються до міжвідомчої координації, особливо якщо ШІ використовується для логістичного забезпечення виборів або ж моніторингу виборчих кампаній. Наприклад, ОАВ можуть бути зобов'язані проводити аудит та оцінку відповідності використовуваних систем ШІ, або ж співпрацювати з органами із захисту даних, якщо використання ШІ стосується обробки персональних даних (Європейська рада із захисту даних та Європейський інспектор із захисту даних, 2021).

Крім того, положення Акту перетинаються з іншими відповідними правовими інструментами, зокрема GDPR та DSA. Поєднання цих законодавчих актів створює єдиний правовий контекст, що вимагає належного дотримання вимог усіма учасниками виборчого процесу та онлайн-платформами; і ОАВ у межах своїх мандатів тут часто виступатимуть як у ролі безпосереднього суб’єкта повноважень, так і у ролі посередника.

Акт про ШІ першочергово спрямований на вирішення проблеми використання маніпулятивного або оманливого контексту і неправомірних технік у політичній комунікації. Так, Стаття 5 забороняє використання систем ШІ, які приховано змінюють поведінку людей або ж використовують вразливості аудиторії; це безпосередньо стосується емоційно переконливих дипфейків або штучно створених ботів для поширення дезінформації (Floridi et al. 2018). Хоча ОАВ не відповідають за дотримання цих заборон, вони мають здійснювати моніторинг виборчого середовища — зокрема виявляти підозрілий контент, сприяти прозорості виборчих кампаній і проводити просвіту виборців щодо маніпулятивного характеру створених за допомогою ШІ матеріалів — та співпрацювати з відповідними регуляторними органами для усунення виявлених порушень.

Водночас впровадження цих правових інструментів у контексті виборів створює низку інституційних та практичних викликів, переважно через їхню фрагментованість. Так, Акт про штучний інтелект не надає чіткого визначення ролі ОАВ у системі забезпечення дотримання визначених заборон, що може призвести до прогалин у нагляді або, навпаки, до дублювання зусиль (Iwańska et al. 2024: 18–19). Крім того, значна частина ОАВ наразі не мають технічних можливостей для належної оцінки дотримання стандартів системами ШІ або для впевненого визначення, чи є використання певної системи ШІ для цілей виборчої кампаній законним або ж неправомірним.

Крім того, виникає проблема стислих термінів і оперативності: виборчі періоди мають жорсткі часові рамки, і чинні механізми правозастосування у сфері ШІ можуть виявитися недостатньо гнучкими для належного реагування на швидкоплинні маніпулятивні практики у режимі реального часу.

З огляду на означені виклики, ОАВ мають завчасно готуватися до виконання регуляторних вимог, впроваджених Актом про ШІ. Процес підготовки передбачає створення інституційного потенціалу для оцінки ризиків використання систем ШІ, розробку процедури передвиборчого аудиту, а також активну участь у спільних робочих групах з органами із захисту даних та національними наглядовими органами з питань використання ШІ. Підготовка до виконання регуляторних вимог вимагає колективних зусиль, що передбачають ефективні механізми міжвідомчої взаємодії (див. 3.5: Міжвідомча координація).

Ефективне правозастосування Акту про ШІ вимагає, серед іншого, постійної міжвідомчої комунікації, напрацювання та обміну досвідом, а також проведення спільних навчань з вирішенням потенційно реальних сценаріїв. Не менш необхідною видається співпраця і між недержавними суб’єктами, як от політичними партіями, приватними компаніями та організаціями громадянського суспільства. Також ОАВ мають підтримувати вимоги прозорості для політичних кампаній, які використовують ШІ — наприклад, обов’язково позначати штучно створений контент або розкривати інформацію про інструменти поведінкового тарґетингу. Довіра громадськості до виборів дедалі більше залежить не лише від процедурної цілісності, але й від сприйняття доброчесності всієї інформаційної екосистеми, у якій приймаються політичні рішення.

Акт про ШІ забезпечує надійну нормативно-правову базу, яка — хоч і не розроблена спеціально для виборів — має важливе значення для цілісності виборчого процесу. Відтепер ОАВ мають опанувати інструменти правової екосистеми, у якій неправомірне використання систем ШІ визнається джерелом як технологічних, так і нормативних ризиків для демократичної участі. Попри визначення правозастосування офіційним обов’язком національних наглядових органів, ОАВ та інші відповідні регулятори насправді є безпосередньо зацікавленими сторонами у належному дотриманні вимог, що не дозволяють технологіям ШІ підривати вільні та чесні вибори. Проактивна участь ОАВ у забезпеченні виконання встановлених правил, нагляді та просвіті виборців матиме вирішальне значення для демократичної легітимності унормування ШІ в ЄС.

3.6.1. Взаємодія ОАВ з Європейським офісом з питань ШІ

Основною відповідальною установою за впровадження та забезпечення дотримання Акту про ШІ визнається Європейська комісія, яка у рамках Генерального директорату з питань комунікаційних мереж, контенту та технологій (DG CONNECT) створила спеціальний орган — Європейський офіс з питань ШІ — завданнями якого є координація політики в галузі ШІ на рівні ЄС, розвиток потенціалу та експертизи, а також допомога у виконанні інших пов’язаних завдань Комісії.

Для забезпечення дотримання Акту про ШІ у контексті виборів, ключовою контактною групою для ОАВ є підрозділ CONNECT A.3, відповідальний за безпечне використання штучного інтелекту. Цей підрозділ у складі Офісу з питань ШІ має взаємодіяти з експертами, громадянським суспільством та іншими відповідними зацікавленими сторонами, співпрацюючи з Генеральним директоратом з питань юстиції та захисту прав споживачів (DG JUST) Комісії та іншими союзними органами, як от з Агентством ЄС з основних прав (FRA) та Європейським інспектором із захисту даних (EDPS).

Нарешті, Стаття 77 Акту про ШІ передбачає, що національні державні органи, відповідальні за нагляд або правозастосування законодавства ЄС щодо захисту основоположних прав, мають повноваження вимагати та отримувати доступ до будь-якої документації, створеної чи то збереженої у рамках дії цього закону. Така інформація має надаватися державним органам доступною мовою та у доступному форматі, коли це необхідно для ефективного виконання ними повноважень у межах встановленої юрисдикції. Про такі запити має бути поінформований відповідний орган з ринкового нагляду.

Це положення дозволяє ОАВ отримувати доступ до відповідної документації та інформації для цілей захисту основоположних прав у виборчому контексті, тобто у межах їхнього мандату щодо захисту права громадян обирати та бути обраними. Реалізація таких повноважень має відбуватися у співпраці та координації з іншими установами з питань забезпечення основних прав, як от органи з питань гендерної рівності, органи із захисту даних та інші відповідні суб’єкти, включно з організаціями громадянського суспільства.

3.6.2. Можливості правозастосування для виборчих органів у рамках Акту про штучний інтелект

Акт про ШІ є значним досягненням у сфері регулювання, що визначає ЄС першою юрисдикцією, яка запровадила комплексну правову базу для ШІ. Хоча цей закон розроблявся як міжгалузевий регламент, він має як прямі, так і опосередковані наслідки для виборчих процесів та державних ОАВ. Виборчі процеси не є основним предметом Акту про ШІ як такого, однак його фокус на ризик-орієнтованому нагляді, захисті основних прав та діяльності управлінських структур значною мірою перетинається з регуляторними потребами демократичних виборів. Детальніше про основні положення Акту про ШІ див. таблицю 3.3.

3.7. Правові новації з точки зору ОАВ у державах-членах ЄС

Для вироблення цього звіту план нашого дослідження передбачав серію інтерв'ю із зацікавленими сторонами у виборчому процесі у державах-членах ЄС, включно з представниками ОАВ Естонії, Фінляндії, Німеччини та Ірландії. Далі представлені основні погляди та ключові висновки щодо впровадження правових новацій у сфері цифровізації та їхнього впливу на вибори.

• Наразі інноваційність та неусталеність впроваджувальної регуляторної бази ЄС у сфері цифровізації є викликом навіть для найрозвинутіших держав-членів ЄС, яким доводиться швидко адаптувати свої складні правові, технічні та інституційні екосистеми у постійно змінюваному контексті розвитку ІКТ.
• Інституційна архітектура та повноваження ОАВ у різних країнах ЄС є досить неоднаковими. У деяких державах-членах виборчі органи мають ширший мандат щодо впровадження цифрових регламентів ЄС, які впливають на вибори. В інших країнах такі повноваження розподілені між широкою мережею інституцій — від профільних міністерств до груп швидкого реагування на інциденти комп'ютерної безпеки та агентств із захисту персональних даних тощо.
• Така неоднаковість мандатів обумовлює роль кожного ОАВ та рівень його взаємодії з національними та європейськими інституціями у формуванні та правозастосуванні нових цифрових регламентів ЄС. Виборчі органи з більш широкими повноваженнями правозастосування нормативно-правової бази ЄС зазвичай підтримують безпосередній зв’язок та пряму взаємодію з відповідними інституціями на рівні Союзу. І навпаки, ОАВ з обмеженими мандатами через розподіл повноважень між іншими установами — органами із захисту даних, агентствами з інформаційної безпеки або регуляторами ЗМІ — меншою мірою безпосередньо долучаються до таких процесів.
• Першочергові інституційні заходи у державах-членах ЄС спрямовані на захист персональних даних та дотримання вимог GDPR. Відтак ОАВ повідомляють про заборону публікації списків виборців, обмежений доступ до реєстрів та особливі процедури для обережної обробки таких даних.
• Щодо загроз виборчим процесам, деякі ОАВ повідомили про відсутність кібератак на свої системи, однак відзначили важливу роль органу з інформаційної безпеки та тісну співпрацю у цій царині з європейськими структурами, як от з Європейською мережею співпраці з питань виборів та Європейським агентством з кібербезпеки. Водночас інші ОАВ повідомили про інциденти з кібербезпекою, зокрема про атаки на сайти політичних партій. Варто зазначити, що такі інциденти не створили загроз цілісності виборів як таких.
• Виборчі органи застосовують різні підходи до модерації контенту, і деякі з них використовують інструменти моніторингу для виявлення дезінформації або неправомірних висловлювань (у контексті виборів) у соціальних мережах. Деякі ОАВ залучають приватні компанії для моніторингу ЗМІ, які мають команду власних експертів для виявлення та вчасного видалення дезінформації чи то іншого незаконного контенту. Представник одного з ОАВ розказав, що за оновленими правилами ведення виборчої кампанії партії були зобов'язані позначати будь-який контент, створений за допомогою штучного інтелекту. Водночас низка ОАВ взагалі не вважають моніторинг соціальних мереж під час виборів частиною своїх повноважень, адже у їхніх країнах це зона відповідальності інших компетентних органів.
• Щодо впровадження систем ШІ для цілей проведення виборів, ОАВ переважно не виявляють бажання користуватися таким інструментом як чат-боти, попри проведення попередніх обговорень стосовно можливостей використання ШІ виборчими органами. Представник лише одного з ОАВ розказав про успішне використання таких інструментів, однак із дотриманням безпекового підходу. Переважно ШІ використовується ОАВ для проведення просвітницьких та мотиваційних кампаній, які також навчають громадян виявляти недостовірну інформацію та відверту дезінформацію.  
• Щодо координації на рівні ЄС, виборчі органи активно взаємодіють з такими платформами як Європейська мережа співпраці з питань виборів, а також повідомляють про свій внесок у європейську ініціативу «Щит демократії» та формування законодавства ЄС через співпрацю з відповідними міністерствами.  
• ОАВ у державах-членах ЄС переважно усвідомлюють ризики та виклики, з якими стикаються їхні колеги у країнах-кандидатах на членство в ЄС, як і транскордонний характер цифрових загроз у виборчих процесах.

Цифрова трансформація виборчих процесів створює як безпрецедентні можливості, так і серйозні виклики для стійкості демократії. Наразі виборчі процеси залишаються у компетенції національних органів влади, а ЄС поступово вибудовує міцну правову та інституційну основу для зміцнення демократичних цінностей та захисту основних прав у цифровому середовищі. Впроваджуючи такі базові принципи, як прозорість, підзвітність та захист даних у свої цифрові регламенти, ЄС сприяє створенню цілісного простору, у якому цифрові технології поставлені на службу демократичним процесам, а не підривають їх зсередини чи то ззовні.

Через впровадження таких правових інструментів, як Загальний регламент про захист даних (GDPR), Акт про цифрові послуги (DSA), Регламент прозорості й тарґетування політичної реклами (TTPA), Європейський закон про свободу медіа (EMFA) та Акт про штучний інтелект (AI Act), ЄС створив комплексну правову архітектуру, яка дозволяє протидіяти основним загрозам для цілісності виборчого процесу, починаючи від зловживання даними та маніпулювання алгоритмами і закінчуючи дезінформацією та непрозорістю онлайн-платформ. Ці правові інструменти не лише визначають стандарти для постачальників цифрових послуг, але й забезпечують необхідні гарантії для громадян та демократичних інститутів.

Крім того, спільні ініціативи ЄС, включно з міжвідомчими мережами та майданчиками для обміну провідним досвідом, посилюють здатність держав-членів належно реагувати на транскордонні виклики, координувати нагляд та забезпечувати безпеку і прозорість виборчих екосистем. Такі зусилля є життєво важливими в епоху, коли інформаційні потоки та ворожі операції впливу набувають дедалі більшого міжнародного характеру.

У перспективі ефективне впровадження та узгоджена реалізація нового законодавства матиме вирішальне значення для упередження нових ризиків, у тому числі пов’язаних з розвитком генеративного штучного інтелекту та стратегій мікро тарґетингу. Посилення співпраці між національними органами влади, інституціями ЄС, громадянським суспільством та цифровими платформами залишається безальтернативною передумовою розбудови стійких демократичних суспільств. У сучасному спільному цифровому та регуляторному просторі ЄС відіграє ключову роль у підтримці зусиль усіх держав-членів щодо забезпечення вільних, доброчесних та прозорих виборів і одночасно виступає гарантом відповідності цифрових інновацій основоположним цінностям демократії, верховенства права та основних прав людини.