GDPR-комплаенс для переводческих агентств: NDA, DPA, передача данных и облачные инструменты¶
Корпоративный клиент из Германии присылает RFP, и в требованиях видите: “GDPR-compliant data processing, DPA required”. Вы подписываете с фрилансерами NDA - и считаете что этого достаточно. Спойлер: нет. NDA и DPA - это разные документы с разными юридическими последствиями, и одного NDA для GDPR-комплаенса мало.
Переводческое агентство ежедневно работает с персональными данными: имена, даты рождения, адреса, номера паспортов, медицинские диагнозы, банковские реквизиты - все это есть в документах клиентов. По GDPR, обработка таких данных без надлежащей защиты может стоить до 20 миллионов евро или 4% годового оборота - в зависимости от того, что больше.
Давайте разберемся что именно нужно сделать, чтобы ваше агентство было в полном комплаенсе.
Почему переводческие агентства подпадают под GDPR¶
GDPR (General Data Protection Regulation) - регуляция ЕС которая регулирует обработку персональных данных. Вступила в силу в мае 2018 года и касается любой компании, которая обрабатывает данные резидентов ЕС - независимо от того, где эта компания находится.
Переводческое агентство подпадает под GDPR если:
- обрабатывает документы клиентов из ЕС (паспорта, свидетельства, договоры)
- имеет клиентов-компании из ЕС
- использует облачные инструменты с серверами в ЕС
- имеет фрилансеров или сотрудников в ЕС
На практике это означает что подавляющее большинство агентств, работающих с европейскими языками, подпадают под GDPR. И это не зависит от размера - агентство из 3 человек имеет те же обязанности что и агентство из 300.
Согласно официальному тексту GDPR, статья 3:
This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to the offering of goods or services to such data subjects in the Union.
Простыми словами: если вы переводите документы для людей или компаний из ЕС - GDPR на вас распространяется, даже если ваш офис в Киеве или Тбилиси.
Частая ошибка: “мы же не собираем данные, а только переводим”. По GDPR “обработка” (processing) - это любое действие с персональными данными: получение, хранение, чтение, передача другому лицу (например, фрилансеру). Перевод документа с именем и датой рождения - это уже обработка персональных данных.
Контроллер vs процессор: какая роль у вашего агентства¶
GDPR различает две ключевые роли:
- Контроллер данных (data controller) - определяет цели и средства обработки данных. Это ваш клиент
- Процессор данных (data processor) - обрабатывает данные от имени контроллера. Это ваше агентство
Когда корпоративный клиент отправляет вам документы для перевода, он является контроллером (его сотрудники, его документы). Ваше агентство - процессор, который обрабатывает эти данные для конкретной цели (перевод).
Но есть нюанс. Ваше агентство одновременно является и контроллером - для собственных данных:
- контактная информация клиентов в CRM
- персональные данные ваших штатных сотрудников
- данные фрилансеров в вашей базе
- email-адреса в маркетинговых рассылках
Это означает двойную ответственность: как процессор вы выполняете требования клиента-контроллера, а как контроллер - несете полную ответственность за собственные данные.
Ваши фрилансеры-переводчики, которым вы передаете документы, являются субпроцессорами (sub-processors). И для них тоже нужно отдельное юридическое оформление - об этом дальше.
NDA vs DPA: критическая разница, которую многие игнорируют¶
Это самая распространенная ошибка в переводческой индустрии. Большинство агентств подписывают с фрилансерами NDA (Non-Disclosure Agreement) и считают что все покрыто. Но NDA и DPA - это принципиально разные документы с разными функциями.
NDA (соглашение о неразглашении):
- защищает конфиденциальную информацию от раскрытия третьим лицам
- регулируется общим договорным правом
- не имеет специфических требований к обработке персональных данных
- не содержит требований GDPR по уведомлению об утечках, удалению данных, праву на аудит
DPA (Data Processing Agreement - соглашение об обработке данных):
- юридически обязательный документ по статье 28 GDPR
- регулирует конкретно обработку персональных данных
- содержит 8 обязательных элементов (список ниже)
- предусматривает конкретные обязанности: уведомление об утечках, удаление данных, содействие в аудитах
A Data Processing Agreement (DPA) is a legally binding contract that states the rights and obligations of each party concerning the protection of personal data. GDPR Article 28 requires controllers to have a DPA in place with every processor.
NDA нужен? Да. Но NDA не заменяет DPA. Вам нужны оба документа.
8 обязательных элементов DPA по статье 28(3)¶
Каждая DPA между вашим агентством и клиентом (и между вами и фрилансерами) должна содержать:
| # | Элемент | Что это значит для агентства |
|---|---|---|
| 1 | Предмет и длительность обработки | Перевод документов, срок действия договора |
| 2 | Характер и цель обработки | Лингвистическая обработка текста с персональными данными |
| 3 | Типы персональных данных | Имена, адреса, даты рождения, медицинские данные, финансовые данные |
| 4 | Категории субъектов данных | Сотрудники клиента, их родственники, контрагенты |
| 5 | Обязанности и права контроллера | Инструкции по обработке, право на аудит |
| 6 | Конфиденциальность | Все кто имеют доступ обязаны сохранять конфиденциальность |
| 7 | Технические и организационные меры | Шифрование, контроль доступа, резервное копирование |
| 8 | Условия привлечения субпроцессоров | Порядок привлечения фрилансеров, согласие клиента |
Совет: не пишите DPA с нуля. Используйте шаблоны стандартных контрактных клаузул от Еврокомиссии как основу и адаптируйте под переводческую специфику. Если бюджет позволяет - попросите юриста проверить финальный документ.
Фрилансеры как субпроцессоры: как оформить правильно¶
Если ваше агентство работает с внешними переводчиками (а это подавляющее большинство агентств), каждый фрилансер, который получает доступ к персональным данным в документах, является субпроцессором по GDPR.
Что это значит на практике:
1. Письменное разрешение от клиента¶
По статье 28(2) GDPR, процессор не может привлекать субпроцессора без письменного разрешения контроллера. Есть два варианта:
- Конкретное разрешение - на каждого фрилансера отдельно (непрактично для агентства с десятками переводчиков)
- Общее разрешение - клиент разрешает привлекать субпроцессоров при условии предварительного уведомления и права возразить
Большинство агентств включают общее разрешение в основной договор. Но клиент сохраняет право возразить против конкретного субпроцессора - и вы обязаны это уведомление отправить до начала работы.
2. DPA с каждым фрилансером¶
Да, каждому фрилансеру нужна отдельная DPA. Это может быть стандартный документ который все подписывают при онбординге, но он должен быть. NDA без DPA - это комплаенс-пробел.
3. Проверка безопасности фрилансера (due diligence)¶
Вы обязаны проверить что фрилансер имеет достаточные технические и организационные меры безопасности:
- шифрование при передаче файлов (минимум TLS 1.2, лучше SFTP или защищенное облачное пространство)
- хранение документов на защищенном устройстве с паролем
- удаление клиентских данных после завершения проекта
- запрет на использование публичного Wi-Fi для работы с конфиденциальными документами
- актуальный антивирус и обновленная ОС
Как указывает юридический портал PLANIT//LEGAL:
Self-employed contractors who process personal data on behalf of a company are considered data processors under GDPR. The contracting company must ensure that the freelancer provides sufficient guarantees for data protection.
4. Ответственность за утечки¶
Если фрилансер допустит утечку данных, перед клиентом и регулятором отвечаете вы, а не фрилансер. Вы можете потом взыскать убытки с фрилансера через DPA (если она правильно составлена), но первичная ответственность - всегда на процессоре.
Поэтому в DPA с фрилансером обязательно включите:
- обязанность немедленно (в течение 24 часов) уведомить вас о любом инциденте
- ответственность за убытки, причиненные нарушением условий DPA
- право на аудит безопасности (хотя бы дистанционный - опросник)
Передача данных за пределы ЕС¶
Если ваше агентство находится за пределами ЕС (например, в Украине), а клиенты - в ЕС, вы передаете данные за пределы Европейского экономического пространства (ЕЭП). GDPR строго регулирует такие трансферы через статьи 44-49.
Три законных механизма передачи¶
1. Решение об адекватности (Adequacy Decision)
Еврокомиссия признает что страна обеспечивает адекватный уровень защиты данных. По состоянию на 2026 год, решение об адекватности имеют: Великобритания, Япония, Южная Корея, США (через EU-US Data Privacy Framework), Канада (коммерческий сектор), Аргентина, Израиль, Новая Зеландия и ряд других стран.
Украина не имеет решения об адекватности. Поэтому для передачи данных из ЕС в Украину нужен другой механизм.
2. Стандартные контрактные клаузулы (SCCs)
Это самый распространенный и практичный механизм для стран без адекватности. SCCs - типовой набор контрактных условий, утвержденный Еврокомиссией, который включается в договор между контроллером/процессором в ЕС и получателем за пределами ЕС.
После решения Schrems II (2020) к SCCs добавилось обязательное требование - Transfer Impact Assessment (TIA). Это оценка того, могут ли законы страны-получателя помешать выполнению условий SCCs.
Для Украины TIA обычно показывает приемлемый уровень риска - но этот документ нужно подготовить и хранить.
3. Binding Corporate Rules (BCRs)
Внутрикорпоративные правила для крупных международных компаний. Для большинства переводческих агентств это слишком сложно и дорого - SCCs намного практичнее.
Что это значит на практике¶
Если вы в Украине и работаете с клиентами из ЕС:
- Включите SCCs в вашу DPA (готовые шаблоны доступны на сайте Еврокомиссии)
- Проведите TIA и задокументируйте его
- Пересматривайте TIA ежегодно - законодательство меняется
То же касается фрилансеров за пределами ЕС: если вы передаете документы переводчику в Индии или Латинской Америке - SCCs + TIA обязательны и для этого трансфера.
Облачные инструменты: какие безопасны для GDPR¶
Большинство переводческих агентств используют облачные CAT-инструменты, системы управления проектами и MT-сервисы. Каждый из них обрабатывает данные клиентов - и каждый должен соответствовать GDPR.
Как указывает Европейская комиссия:
Many translation tools store your texts on their servers, sometimes even training AI models on your data. Before using any cloud-based tool, check the terms of service carefully.
Сравнение безопасности популярных инструментов¶
| Инструмент | GDPR-комплаенс | Сертификации | Хранение текста | DPA доступна | Серверы |
|---|---|---|---|---|---|
| DeepL Pro | Да | ISO 27001, SOC 2 Type II | Не хранит | Да | ЕС (Германия) |
| Google Translate (бесплатный) | Нет | - | Использует для тренировки | Нет | Глобальные |
| Google Cloud Translation API | Да | ISO 27001, SOC 2 | Не хранит (по умолчанию) | Да | Выбор региона |
| Smartcat | Да | ISO 27001 | Хранит в TM | Да | ЕС + США |
| Phrase (Memsource) | Да | ISO 27001 | Хранит в TM | Да | ЕС |
| memoQ Cloud | Да | ISO 27001 | Хранит в TM | Да | ЕС |
| ChatGPT / Claude API | Частично | SOC 2 | Зависит от плана | Да (Business/Enterprise) | США + ЕС |
| SDL Trados (Desktop) | N/A | - | Локально | N/A | Локально |
Ключевые правила при выборе инструментов¶
- Подпишите DPA с каждым SaaS-провайдером. Это не опция - это юридическое требование
- Проверьте где физически находятся серверы. Для клиентов из ЕС желательно - серверы в ЕС
- Убедитесь что инструмент не использует ваши тексты для тренировки AI-моделей
- Бесплатные версии MT (Google Translate, бесплатный DeepL) - категорически не для конфиденциальных документов
- Desktop-решения (Trados, memoQ Server) - самые безопасные с точки зрения GDPR, так как данные не покидают вашу инфраструктуру
Отдельно про AI-инструменты: если вы используете ChatGPT или Claude для пост-редактирования или черновой перевод, убедитесь что вы на бизнес-плане с DPA и что опция “тренировка на ваших данных” выключена. Бесплатные или персональные тарифы обычно не гарантируют конфиденциальности.
Чек-лист GDPR-комплаенса для переводческого агентства¶
Практический список действий от самых важных до желательных:
Критические (без этого - вы не в комплаенсе)¶
| # | Что сделать | Детали |
|---|---|---|
| 1 | Подготовить шаблон DPA для клиентов | На основе SCCs от Еврокомиссии, адаптированный под перевод |
| 2 | Подготовить шаблон DPA для фрилансеров | С требованиями к безопасности, ответственности, удалению данных |
| 3 | Подписать DPA с каждым облачным инструментом | DeepL, Smartcat, Phrase - у всех есть готовая DPA на сайте |
| 4 | Создать реестр обработки данных (ROPA) | Какие данные, от кого, зачем, кому передаете, когда удаляете |
| 5 | Разработать процедуру уведомления об утечке | 72 часа на уведомление регулятора (статья 33 GDPR) |
| 6 | Включить SCCs в договоры (если вы за пределами ЕС) | Шаблоны доступны на сайте Еврокомиссии |
Важные (повышают уровень защиты)¶
| # | Что сделать | Детали |
|---|---|---|
| 7 | Обновить Privacy Policy на сайте | Какую информацию собираете, зачем, как долго храните |
| 8 | Провести обучение для сотрудников и фрилансеров | Базовые правила работы с персональными данными |
| 9 | Внедрить шифрование передачи файлов | Минимум TLS 1.2, желательно SFTP или защищенный портал |
| 10 | Установить сроки хранения и процедуру удаления | Не храните данные дольше чем нужно для выполнения заказа |
| 11 | Подготовить TIA для трансфертов за пределы ЕС | Задокументируйте оценку рисков законодательства вашей страны |
Желательные (конкурентное преимущество)¶
| # | Что сделать | Детали |
|---|---|---|
| 12 | Назначить DPO или ответственного за защиту данных | Обязательно если обрабатываете много медицинских/судебных данных |
| 13 | Получить ISO 27001 сертификацию | Стандарт информационной безопасности, повышает доверие Enterprise-клиентов |
| 14 | Проводить ежегодный аудит процессов | Проверять актуальность DPA, TIA, процедур безопасности |
Про правило 72 часов: если произошла утечка персональных данных (фрилансер потерял ноутбук, взломали email, документ попал не тому адресату), вы обязаны уведомить надзорный орган в течение 72 часов с момента обнаружения. Если утечка угрожает правам субъектов данных - уведомить также и их.
Совет: подготовьте шаблон уведомления об утечке заранее. В момент кризиса вы не сможете думать четко и юридически корректно формулировать.
Штрафы и реальные риски¶
Максимальные штрафы по GDPR выглядят пугающе: до 20 млн евро или 4% глобального оборота. На практике для малого и среднего бизнеса штрафы обычно составляют от 5 000 до 100 000 евро - по данным GDPR Enforcement Tracker, который отслеживает все публичные штрафы.
Но штраф - это не самое страшное. Реальные риски для агентства:
- Потеря клиентов. Enterprise-компании требуют GDPR-комплаенс как условие тендера. Нет DPA - нет контракта. Это может стоить намного больше любого штрафа
- Репутационные убытки. Утечка данных клиента - это новость которая расходится быстро, особенно в тесном переводческом сообществе
- Затраты на ликвидацию последствий. Юристы, аудиторы, уведомления регуляторов, уведомления пострадавших - даже небольшой инцидент может стоить 10 000-30 000 евро
Для маленького агентства с оборотом 100 000-200 000 евро в год даже минимальный штраф в 5 000 евро - это ощутимо. А потеря крупного корпоративного клиента из-за отсутствия DPA - еще ощутимее.
Хорошая новость: базовый GDPR-комплаенс для небольшого агентства - это не ракетостроение. Реальная себестоимость внедрения - 2-4 недели работы и 500-2 000 евро на юриста для проверки документов. По сравнению с потенциальными убытками - это инвестиция которая окупается одним корпоративным контрактом.
FAQ¶
Нужен ли DPO (Data Protection Officer) переводческому агентству?¶
DPO обязателен если ваше агентство систематически обрабатывает большие объемы данных или работает со специальными категориями данных (медицинские, судебные). На практике большинство небольших агентств (до 20 человек) могут назначить внутреннего ответственного вместо полноценного DPO. Но если вы регулярно переводите медицинскую документацию или судебные материалы - DPO стоит рассмотреть серьезно.
NDA с фрилансером достаточно для GDPR-комплаенса?¶
Нет. NDA защищает конфиденциальность, но не регулирует обработку персональных данных в соответствии с GDPR. Вам нужна отдельная DPA (Data Processing Agreement) с каждым фрилансером который получает доступ к документам с персональными данными. Правильная комбинация: NDA (конфиденциальность) + DPA (обработка данных).
Что делать если фрилансер потерял документ с персональными данными?¶
Это квалифицируется как утечка данных (data breach) по статье 4(12) GDPR. Ваши действия: (1) зафиксировать инцидент, (2) уведомить надзорный орган в течение 72 часов, (3) оценить риск для субъектов данных, (4) уведомить клиента. DPA с фрилансером должна обязывать его немедленно (в течение 24 часов) уведомить вас о любом инциденте с безопасностью.
Можно ли использовать бесплатный Google Translate для документов клиентов?¶
Нет, бесплатный Google Translate не подходит для конфиденциальных документов. Google указывает в Terms of Service что может использовать введенный текст для улучшения сервиса. Для работы с персональными данными используйте либо платные сервисы с DPA (DeepL Pro, Google Cloud Translation API), либо desktop-инструменты (Trados, memoQ) где данные не покидают ваш компьютер.
Сколько времени занимает внедрение GDPR-комплаенса в агентстве?¶
Для небольшого агентства (до 10 человек) базовый комплаенс можно внедрить за 2-4 недели: подготовить шаблоны DPA, обновить договоры с клиентами и фрилансерами, создать ROPA, провести обучение, настроить безопасную передачу файлов. Полный комплаенс с аудитом, TIA и возможной ISO-сертификацией - 2-3 месяца.
Распространяется ли GDPR на агентства из Украины?¶
Да, если вы обрабатываете данные резидентов ЕС или оказываете услуги компаниям в ЕС. Географическое расположение агентства не имеет значения - важно чьи данные вы обрабатываете и кому оказываете услуги. Это прямо указано в статье 3 GDPR - так называемый экстратерриториальный принцип.