DeepL и GDPR: что такое Data Processing Agreement и как его подписать¶
Переводческое агентство в Берлине получило срочный заказ: перевести пакет медицинских документов. Менеджер открыл DeepL, вставил текст, получил перевод за секунды. Удобно, быстро, бесплатно. Через два месяца пришло письмо от регулятора с требованием объяснить, на каком основании персональные данные пациентов обрабатываются системой, с которой нет договора об обработке данных. Штраф оказался терпимым только потому, что агентство сразу перешло на платный план и подписала DPA.
Большинство компаний не знают, что такой договор существует и что он обязателен. Давай разберемся.
Что такое Data Processing Agreement и зачем он нужен¶
DPA (Data Processing Agreement, соглашение об обработке данных) - это юридически обязывающий договор между контроллером данных (data controller) и процессором данных (data processor).
- Контроллер - это ты или твоя компания. Вы определяете цели и методы обработки данных.
- Процессор - это DeepL (или любой другой сервис, которому вы передаете данные для обработки). Они обрабатывают данные по вашим инструкциям.
Требование заключить DPA закреплено в статье 28 GDPR. Простыми словами: всякий раз, когда ты передаешь персональные данные граждан ЕС третьей стороне для обработки, между вами ДОЛЖЕН быть заключен договор в письменной или электронной форме.
Что статья 28 требует от DPA: - Процессор обрабатывает данные ТОЛЬКО по задокументированным инструкциям контроллера - Обязательства конфиденциальности для всех, кто имеет доступ к данным - Процессор удаляет или возвращает все данные после окончания услуг - Процессор предоставляет контроллеру всю информацию для демонстрации соответствия GDPR - Субпроцессоры могут привлекаться только с письменного согласия контроллера
За нарушение статьи 28: штраф до €10 млн или 2% от мирового годового оборота - в зависимости от того, какая сумма больше.
Когда тебе нужен DPA с DeepL¶
Простой тест: попадают ли персональные данные в текст, который ты отправляешь на перевод?
Персональные данные - это любая информация, позволяющая идентифицировать живого человека: имя, email, адрес, номер паспорта, ИНН, IP-адрес, медицинские данные, банковские реквизиты.
DPA обязателен, если ты переводишь через DeepL: - Переписку с клиентами (есть имена, email-адреса) - Договоры с физическими лицами (есть паспортные данные, адреса) - Медицинскую документацию (особо чувствительные данные, ст. 9 GDPR) - HR-документы (зарплаты, персональные данные сотрудников) - Банковские выписки и финансовые документы клиентов - Юридические документы с данными о конкретных людях
DPA не обязателен для чисто технических или публичных текстов: переводишь условия использования, техническую документацию без персональных данных, маркетинговые материалы без упоминания конкретных людей - DPA не нужен. Как только в тексте появляется “Иван Иванов, ул. Ленина 1” - он становится обязательным.
Как указывает GDPR.eu, DPA нужен даже если обработка происходит в очень малом объеме - нет порогового значения “этих данных слишком мало, чтобы беспокоиться”.
DeepL Free vs платные планы: критическая разница для GDPR¶
Это самая важная часть статьи, потому что здесь большинство компаний и допускают ошибку.
DeepL Free - почему он не подходит для бизнеса¶
На бесплатном плане: - DPA подписать невозможно - функция просто недоступна - DeepL может использовать твои переводы для обучения нейронных сетей (это указано в условиях использования) - Нет гарантий относительно времени хранения данных - Нет юридической защиты для тебя как контроллера
Если компания обрабатывает персональные данные EU-резидентов через DeepL Free - это прямое нарушение GDPR, даже если компания зарегистрирована не в ЕС, но обслуживает EU-клиентов.
DeepL Pro / API / Teams - что это дает¶
На платных планах: - DPA доступен и подписывается электронно - Тексты удаляются сразу после перевода (не хранятся) - Данные не используются для обучения моделей (контрактная гарантия) - Данные не передаются другим пользователям или третьим сторонам (кроме субпроцессоров, указанных в DPA) - Шифрование in transit и at rest
Как пишет DeepL на своей странице о безопасности данных: “Your texts are not stored by DeepL, are not used to improve our service.”
Небольшая оговорка, о которой честно пишут независимые аналитики: “not training” и “not retaining” - это разные вещи. Технические логи (метаданные запросов: время, размер файла, без контента) могут храниться для billing и security. Но это значительно лучше, чем Free план.
Как подписать DPA DeepL: пошаговая инструкция¶
Шаг 1. Перейти на платный план¶
DPA доступен только на: - DeepL Pro (личный или командный план) - DeepL API (Advanced или выше) - DeepL Business / Enterprise
Бесплатный план - не подходит.
Шаг 2. Найти раздел Legal Documents¶
Войти в аккаунт DeepL → Settings → Legal Documents или Data Processing Agreement. В зависимости от версии интерфейса, это может быть в разделе Account Settings → Security & Privacy.
Шаг 3. Trust Center как альтернативный путь¶
Если не нашел через интерфейс - DeepL имеет отдельный Trust Center на deepl.safebase.us. Там можно запросить DPA через корпоративную почту. Нужен корпоративный домен (не gmail.com, не outlook.com личный).
Шаг 4. Просмотреть список субпроцессоров¶
Перед подписанием - ознакомься со списком субпроцессоров. Это компании, которым DeepL передает данные для оказания услуг (хостинг, безопасность и т.д.). По состоянию на 2026 год список включает AWS - об этом подробнее в следующем разделе.
Шаг 5. Подписать электронно и сохранить¶
Большинство компаний подписывают электронно через интерфейс. Подписанный DPA храни как часть своей документации по ст. 30 GDPR (реестр операций обработки). Если твоя сфера требует wet signature (юридические фирмы, фармацевтика) - обратись в sales DeepL для отдельных условий.
DeepL и AWS в 2026: новая compliance-проблема¶
20 мая 2026 DeepL объявил о добавлении AWS как субпроцессора - и это стало горячей темой среди regulated industries.
До этого момента все данные платных клиентов обрабатывались исключительно на собственных серверах DeepL в Германии и Исландии. Это было одним из ключевых преимуществ DeepL перед конкурентами: 100% EU processing, без американского облака.
Теперь ситуация изменилась. Что DeepL гарантирует: - Шифрование in transit и at rest; ключи остаются у DeepL, не у AWS - Клиенты с требованиями к data residency могут настроить EU-only обработку - Есть опция BYOK (Bring Your Own Key) - если ты отзываешь свой ключ, данные становятся недоступными даже для AWS - Все сертификаты (ISO 27001, SOC 2 Type II, BSI C5, HIPAA) сохраняются
Почему это все равно проблема для некоторых компаний: US CLOUD Act. AWS - американская компания. CLOUD Act позволяет американским органам запрашивать данные у американских компаний независимо от того, где физически находятся серверы. Даже если данные зашифрованы и серверы во Франкфурте - правовое требование может прийти к AWS.
Как написал Heise Online: “DeepL, позиционировавший себя как EU-first альтернативу американским облачным провайдерам, теперь строит на той же облачной инфраструктуре, которой старался избежать.”
Для большинства компаний это не критично - DeepL остается одним из наиболее GDPR-совместимых сервисов перевода. Но для юридических фирм, больниц, фармкомпаний и госструктур, которые выбирали DeepL именно за EU-only processing, это требует пересмотра оценки рисков.
Клиенты, не согласившиеся с новыми условиями до 19 мая 2026, получат прекращение подписки до 31 декабря 2026.
DeepL vs Google Translate: сравнение с точки зрения GDPR¶
| Параметр | DeepL Free | DeepL Pro/API | Google Translate (бесплатный) | Google Cloud Translation API |
|---|---|---|---|---|
| DPA доступен | Нет | Да | Нет | Да |
| EU data processing | Частично | Да (с 2026 - частично AWS) | Нет | Нет (глобальная инфра) |
| Данные для обучения | Да | Нет (контрактно) | Да | Нет (заявлено) |
| ISO 27001 | - | Да | Нет (для translation) | Нет (для translation) |
| SOC 2 Type II | - | Да | Нет | Нет (для translation) |
| BSI C5 | - | Да | Нет | Нет |
Ключевое отличие Google Cloud Translation API от DeepL Pro: Google не привязывает обработку к конкретному региону, данные идут через глобальную инфраструктуру Google. Кроме того, Google собирает метаданные, которые привязываются к Google-аккаунту и могут использоваться cross-service.
Для EU-бизнеса, которому важна GDPR-совместимость - DeepL Pro остается лучшим выбором, даже с учетом AWS-вопроса.
Сертификаты безопасности DeepL в 2026¶
DeepL (по состоянию на май 2026) имеет следующие независимые сертификаты:
- ISO 27001:2022 - международный стандарт управления информационной безопасностью
- SOC 2 Type II - аудит систем безопасности, доступности, конфиденциальности
- BSI C5 Type 2 - немецкий стандарт облачной безопасности (Bundesamt für Sicherheit in der Informationstechnik)
- HIPAA - стандарт защиты медицинских данных
- GDPR - соответствие регуляции ЕС
Все эти сертификаты доступны для просмотра в Trust Center DeepL. Это важно для корпоративных клиентов, которым нужно документировать due diligence при выборе поставщика.
Что включить в реестр операций обработки данных (Article 30)¶
Если ты подписал DPA с DeepL - не забудь обновить свой внутренний реестр по ст. 30 GDPR. Что туда включить:
| Поле | Пример для DeepL |
|---|---|
| Название операции | Машинный перевод документов |
| Цель обработки | Переводческая деятельность, внутренняя коммуникация |
| Категории данных | Персональные данные (имена, адреса); возможно чувствительные (медицинские) |
| Категории субъектов | Клиенты, партнеры, сотрудники |
| Процессор | DeepL SE, Maarweg 165, 50825 Кельн, Германия |
| Субпроцессоры | По списку в DPA (с 2026 включает AWS) |
| Правовое основание | Статья 6(1)(b) или (f) GDPR |
| Срок хранения | Удаляются сразу после перевода (DeepL Pro) |
| Гарантии безопасности | Шифрование, ISO 27001, SOC 2 Type II |
Практические советы¶
Проверь тип плана в команде. Если кто-то из коллег “просто пользуется DeepL” - проверь, это платный план с DPA или нет. Корпоративная лицензия должна охватывать всех, кто переводит данные клиентов.
Определи, какие документы содержат персональные данные. Не каждый перевод требует DPA - только тот, что касается персональных данных EU-резидентов.
Запроси DPA у всех своих поставщиков перевода. DeepL - не единственный сервис, где может возникнуть этот вопрос. Если используешь несколько инструментов (Google Cloud Translation, Azure Translator и другие) - у каждого должен быть подписанный DPA.
Обрати внимание на субпроцессоров. В DPA DeepL есть список субпроцессоров. По GDPR, если субпроцессор меняется - тебе должны уведомить, и ты имеешь право возразить. Именно это произошло в мае 2026 с AWS.
Enterprise-вариант для высокочувствительных данных. Для юридических фирм, больниц и госструктур DeepL предлагает enterprise-вариант с возможностью деплоя в собственной IT-среде через AWS Marketplace. Тогда данные вообще не выходят за пределы твоей инфраструктуры.
Источники¶
- GDPR Article 28 — Processor obligations (EUR-Lex)
- DeepL Pro Data Security
- DeepL Trust Center
- DeepL расширяет инфраструктуру — AWS migration (официальный блог)
- Cybernews: DeepL и AWS — вопросы суверенитета данных
- Compound Law: GDPR-анализ DeepL DPA
- GDPR.eu: Что такое Data Processing Agreement
- Heise Online: DeepL теперь использует AWS