€15 миллионов. Столько OpenAI заплатил штраф итальянскому регулятору Garante за нарушение GDPR. И это еще мягко - TikTok отдал €530 миллионов за передачу данных европейских пользователей на китайские серверы. С 2018 года регуляторы ЕС выписали больше 2 800 штрафов на общую сумму свыше €6.2 миллиарда. Если твой переводческий бизнес использует ИИ-инструменты для работы с клиентскими документами - каждое нажатие “Translate” юридически является твоей ответственностью. И “я не знал” - не аргумент для регулятора.
Что GDPR требует от бизнеса, который использует ИИ-перевод¶
Когда переводческое агентство или фрилансер загружает клиентский договор в DeepL или ChatGPT - это не просто “перевод”. С точки зрения GDPR, происходит обработка персональных данных. Имена, адреса, номера паспортов, медицинские диагнозы в документах - все это персональные данные, и закон четко регламентирует, кто и как должен с ними работать.
Ключевое разграничение: ты - контроллер данных (data controller), а ИИ-инструмент - процессор (data processor). Контроллер решает, зачем и как обрабатываются данные. Процессор выполняет обработку по инструкциям контроллера. И ответственность за выбор надежного процессора лежит именно на тебе.
Три статьи GDPR, которые стоит знать наизусть:
Статья 28 - Data Processing Agreement (DPA). Ты обязан подписать DPA с каждым ИИ-сервисом, который обрабатывает персональные данные твоих клиентов. Без DPA использование инструмента для документов с персональными данными - прямое нарушение GDPR. Штраф: до €10 миллионов или 2% годового оборота.
Статьи 44-49 - передача данных за пределы ЕС. Если ИИ-сервис хранит данные в США (как OpenAI) - нужны дополнительные гарантии: Standard Contractual Clauses (SCC), Adequacy Decision или другие механизмы. После отмены Privacy Shield в 2020 году и принятия EU-US Data Privacy Framework в 2023 - ситуация усложнилась, и не каждый сервис имеет корректно оформленные механизмы передачи.
Статья 25 - Privacy by Design. Защита данных должна быть встроена в процессы с самого начала. Это значит: выбирай инструменты, которые по умолчанию минимизируют сбор и хранение данных, а не те, где нужно вручную отключать обучение на твоих текстах.
DPA: документ, без которого нельзя работать¶
Data Processing Agreement - это не опция и не “приятный бонус”. Это юридическое требование GDPR (Статья 28). Если ты обрабатываешь персональные данные клиентов через ИИ-инструмент и не имеешь подписанного DPA с этим сервисом - ты нарушаешь закон. Даже если никакой утечки не было.
Что должен содержать DPA:
- Предмет и длительность обработки
- Категории персональных данных, которые обрабатываются
- Обязанности процессора: шифрование, ограничение доступа, удаление после обработки
- Список субпроцессоров (какие еще компании имеют доступ к данным)
- Процедура уведомления об утечке данных (data breach notification - 72 часа по GDPR)
- Право контроллера на аудит
Кто предоставляет DPA:
| Сервис | DPA доступен? | Как получить |
|---|---|---|
| DeepL Pro | Да | Автоматически при подписке, скачать с сайта |
| ChatGPT Enterprise / API | Да | Через портал OpenAI |
| Google Cloud Translation | Да | Через Google Cloud Console |
| Azure Translator | Да | Через Azure Terms of Service |
| Claude API | Да | Через Anthropic Privacy Center |
| Бесплатные версии (все) | Нет | DPA не предоставляется |
Обрати внимание на последнюю строку. Ни один бесплатный ИИ-переводчик не предоставляет DPA. Это значит: если ты используешь бесплатный DeepL, Google Translate или ChatGPT Free для документов с персональными данными - ты автоматически нарушаешь GDPR, даже без утечки.
Подробнее о том, что происходит с текстом в каждом сервисе - мы разбирали в отдельной статье.
Сравнение ИИ-инструментов по GDPR-комплаенсу¶
| Критерий | DeepL Pro | ChatGPT API | Google Cloud Translation | Azure Translator | Claude API |
|---|---|---|---|---|---|
| DPA | ✅ | ✅ | ✅ | ✅ | ✅ |
| ISO 27001 | ✅ | ✅ | ✅ | ✅ | ✅ |
| SOC 2 Type II | ✅ | ✅ | ✅ | ✅ | ✅ |
| Дата-центры в ЕС | ✅ (DE, FI) | ❌ (США) | ✅ (настраиваемое) | ✅ (настраиваемое) | ✅ (через AWS/GCP) |
| No-Trace | ✅ | ❌ (логи 30 дней) | ✅ | ✅ | ❌ (логи 7 дней) |
| Обучение на данных | ❌ | ❌ | ❌ | ❌ | ❌ |
| HIPAA | ✅ | ✅ (Enterprise) | ✅ | ✅ | ❌ |
| Цена от | $8.74/мес | $0.002/1K токенов | $20/1M символов | $10/1M символов | $3/1M токенов |
Теперь по каждому сервису.
DeepL Pro: простейший путь к комплаенсу¶
DeepL - немецкая компания со штаб-квартирой в Кельне. Данные обрабатываются в ЕС (Германия, Финляндия), компания подчиняется европейскому законодательству напрямую, без дополнительных соглашений о трансграничной передаче.
Сертификации: ISO 27001, SOC 2 Type II, BSI C5 Type 2 (немецкий правительственный стандарт для облачных сервисов). DPA входит автоматически в условия подписки. Текст удаляется сразу после перевода - никаких логов, никакого обучения.
Минус: DeepL - это NMT (neural machine translation), не LLM. Для стандартных документов работает отлично. Для сложных текстов, где нужна адаптация стиля или контекста - LLM-модели имеют преимущества.
ChatGPT API / Enterprise: мощный, но с нюансами¶
OpenAI получил штраф €15 миллионов от итальянского Garante за нарушение GDPR при обучении моделей. Это не значит, что API-версия небезопасна - но значит, что компания уже была под прицелом регуляторов.
Через API данные не используются для обучения. Хранятся в логах 30 дней для мониторинга злоупотреблений. Enterprise тариф имеет Zero Data Retention (ZDR) - текст не хранится вообще. DPA доступен.
Главная проблема: дата-центры в США. Для передачи данных из ЕС нужен EU-US Data Privacy Framework. OpenAI заявляет о соответствии, но после отмены Privacy Shield (2020) и Safe Harbor (2015) вопрос трансатлантической передачи данных остается юридически нестабильным.
Если уже работаешь с ChatGPT - есть конкретные промпты и подходы для перевода, которые помогают получить лучший результат.
Google Cloud Translation API¶
Google Cloud предлагает региональные эндпоинты - можно выбрать, где именно обрабатываются данные. Для ЕС есть европейские эндпоинты, что снимает вопрос передачи за пределы ЕС. DPA входит в Google Cloud Terms. Сертификации: полный набор - ISO, SOC, CSA STAR.
Текст не хранится после перевода и не используется для обучения. Но это касается только Cloud API. Бесплатный Google Translate - совсем другая история: мы сравнивали его с DeepL и там все значительно менее прозрачно в плане данных.
Azure Translator: No-Trace как стандарт¶
Microsoft Azure Translator - единственный крупный сервис с политикой No-Trace по умолчанию на всех тарифах, включая бесплатный. Текст не записывается в персистентное хранилище ни до, ни после перевода.
Сертификации: ISO 27001, SOC 1/2/3, HIPAA, FedRAMP, CSA STAR. DPA через Azure Terms. Дата-центры можно выбирать по регионам, включая несколько локаций в Европе.
Для бизнеса, который работает с медицинскими, юридическими или финансовыми документами и хочет минимизировать риск - Azure Translator объективно самый безопасный вариант по формальным критериям. Минус: интеграция сложнее чем DeepL, нужна техническая подготовка.
Claude API (Anthropic)¶
С марта 2026 Anthropic анонсировал полноценные сертификации безопасности для Claude, включая SOC 2 и ISO 27001. DPA доступен через Anthropic Privacy Center. API-данные не используются для обучения, логи удаляются через 7 дней.
Для дата-резидентности в ЕС: Claude доступен через AWS Bedrock во Франкфурте или Google Vertex AI во Франкфурте. Это позволяет держать данные физически в ЕС и значительно упрощает GDPR-комплаенс.
Claude как LLM отлично справляется с контекстно-сложными переводами. Если ищешь ИИ-переводчик с лучшим качеством - Claude один из лидеров.
Где физически живут данные и почему это критично¶
GDPR ограничивает передачу персональных данных за пределы ЕС (Статьи 44-49). Если ты переводишь документ клиента из Берлина через сервер в Калифорнии - это трансграничная передача, и она требует юридического обоснования.
| Механизм | Статус в 2026 | Риск |
|---|---|---|
| EU-US Data Privacy Framework | Действует с 2023 | Может быть отменен (как два предыдущих механизма) |
| Standard Contractual Clauses (SCC) | Действует | Требует оценки воздействия на передачу (TIA) |
| Дата-центр в ЕС | Самый надежный вариант | Зависит от возможностей сервиса |
Практическая рекомендация: выбирай сервисы с дата-центрами в ЕС. DeepL (Германия - автоматически), Azure Translator (EU-регион на выбор), Google Cloud (EU-эндпоинт), Claude через AWS/GCP Frankfurt. Это самый простой способ избежать вопросов о трансграничной передаче.
EU AI Act: вторая волна регуляций начинается 2 августа 2026¶
GDPR - не единственный закон, который касается ИИ-перевода. EU AI Act добавляет еще один уровень требований. Ключевая дата: 2 августа 2026 - вступают в силу правила для высокорисковых ИИ-систем.
По данным Slator (2024), две трети переводческих агентств уже регулярно используют ИИ-инструменты. Это значит: требования AI Act затронут большинство бизнесов в индустрии.
Что изменится:
- AI Literacy (Статья 4): все сотрудники, которые используют ИИ, должны иметь достаточный уровень AI-грамотности. Это требование уже действует с февраля 2025.
- Прозрачность: если используешь ИИ для перевода - клиент имеет право знать. В некоторых случаях требуется маркировка ИИ-генерированного контента.
- Управление рисками: для бизнесов, которые используют ИИ в сферах, влияющих на права людей (юридические документы, медицинские заключения), могут действовать повышенные требования.
GDPR штрафует за нарушение обработки данных. AI Act добавит штрафы за неправильное использование ИИ-систем. Двойная регуляторная нагрузка - это реальность, к которой стоит готовиться уже сейчас.
Кстати, риски ИИ-перевода - это не только данные. ИИ-галлюцинации в юридических переводах - отдельная угроза, которая тоже имеет правовые последствия.
Чеклист: как сделать переводческий бизнес GDPR-комплаентным¶
1. Перейди на платные версии для документов с персональными данными¶
Бесплатные ИИ-переводчики не имеют DPA и часто используют твой текст для обучения. Минимальная инвестиция - $8-10/мес за DeepL Pro или несколько долларов за API-вызовы. Сравни с потенциальным штрафом до €10 миллионов.
2. Подпиши DPA с каждым ИИ-сервисом¶
Скачай и сохрани DPA от DeepL, OpenAI, Google, Microsoft или Anthropic - в зависимости от того, что используешь. Это должно быть в твоей папке комплаенс-документов и доступно для аудита.
3. Выбери сервисы с дата-центрами в ЕС¶
DeepL (автоматически в Германии), Azure Translator (EU-регион на выбор), Google Cloud (EU-эндпоинт), Claude через AWS Bedrock Frankfurt. Так ты избежишь сложных вопросов о трансграничной передаче данных.
4. Документируй процессы обработки данных¶
Создай запись обработки (Record of Processing Activities - ROPA). Укажи: какие данные обрабатываешь, через какие инструменты, на каком правовом основании, как долго хранишь. Это требование Статьи 30 GDPR, и аудиторы спросят об этом первым делом.
5. Анонимизируй документы перед ИИ-переводом¶
Замени имена, адреса, номера счетов на плейсхолдеры: [ИМЯ], [АДРЕС], [НОМЕР]. После перевода верни оригинальные данные. Дополнительный шаг, но для критичных документов он резко снижает риск. Правильные промпты для перевода тоже помогают контролировать процесс.
6. Информируй клиентов¶
Добавь в договор с клиентом пункт об использовании ИИ-инструментов. Укажи какие именно сервисы используешь и какие меры безопасности применяешь. Прозрачность строит доверие и защищает юридически.
7. Проверяй субпроцессоров¶
Каждый ИИ-сервис имеет своих субпроцессоров - облачные провайдеры, CDN-сети, сервисы мониторинга. Убедись, что эта информация доступна и что субпроцессоры тоже соответствуют GDPR.
8. Подготовься к AI Act¶
Обеспечь AI-грамотность команды (Статья 4 AI Act уже действует). Документируй, какие ИИ-системы используешь и для чего. Дедлайн полного соответствия для высокорисковых систем - 2 августа 2026.
FAQ¶
Можно ли использовать бесплатный DeepL для перевода клиентских документов?¶
Если документы содержат персональные данные (имена, адреса, номера) - нет. Бесплатный DeepL не предоставляет DPA и использует тексты для обучения моделей. Сами DeepL прямо запрещают это в условиях использования бесплатной версии. DeepL Pro (от $8.74/мес) решает проблему: DPA включен, тексты удаляются сразу после перевода.
Что такое DPA и почему это обязательно?¶
Data Processing Agreement - это договор между тобой (контроллер данных) и ИИ-сервисом (процессор данных), который регулирует обработку персональных данных. Статья 28 GDPR делает его обязательным. Без DPA использование любого облачного инструмента для документов с персональными данными - нарушение закона. Штраф: до €10 миллионов или 2% годового оборота.
Какой ИИ-переводчик самый безопасный для бизнеса в ЕС?¶
По совокупности критериев (DPA, сертификации, дата-резидентность, No-Trace) - Azure Translator и DeepL Pro лидируют. Azure имеет No-Trace по умолчанию на всех тарифах. DeepL - европейская компания с полным набором сертификаций и автоматическим хранением данных в ЕС. Для LLM-качества перевода - Claude API через AWS Bedrock Frankfurt.
Как EU AI Act повлияет на переводческий бизнес?¶
AI Act добавляет новые требования поверх GDPR. С февраля 2025 уже действует обязанность AI Literacy - все, кто работает с ИИ, должны понимать основы технологии. С августа 2026 вступают в силу правила для высокорисковых систем. Для переводческих агентств это означает: документирование ИИ-инструментов, прозрачность перед клиентами и потенциально повышенные требования к переводам в юридической и медицинской сферах.
Нужен ли DPA, если я фрилансер, а не агентство?¶
Да. GDPR не делает исключений для размера бизнеса. Если ты обрабатываешь персональные данные резидентов ЕС - правила касаются тебя одинаково. Фрилансер, который использует ChatGPT для перевода договоров, несет ту же ответственность, что и крупное бюро переводов.