DeepL та GDPR: що таке Data Processing Agreement і як його підписати¶

Перекладацька агенція в Берліні отримала запит від клієнта: терміново перекласти пакет медичних документів. Менеджер відкрив DeepL, вставив текст, отримав переклад за секунди. Зручно, швидко, безкоштовно. Але через два місяці прийшов лист від DPA (Data Protection Authority) Берліна з вимогою пояснити, на якій підставі персональні дані пацієнтів обробляються системою, з якою немає укладеного договору про обробку даних. Штраф виявився приємнішим за очікування тільки тому, що агенція одразу перейшла на платний план і підписала DPA.

Але більшість бізнесів навіть не знає, що такий договір існує і що він обов’язковий. Давай розберемося.

Що таке Data Processing Agreement і навіщо він потрібен¶

DPA (Data Processing Agreement, або угода про обробку даних) - це юридично зобов’язуючий договір між двома сторонами: контролером даних (data controller) і процесором даних (data processor).

• Контролер - це ти або твоя компанія. Ви визначаєте, навіщо і як обробляти дані.
• Процесор - це DeepL (або будь-який інший сервіс, якому ви передаєте дані для обробки). Вони обробляють дані за вашими інструкціями.

Вимога укласти DPA закріплена у статті 28 GDPR. Якщо коротко: щоразу, коли ти передаєш персональні дані громадян ЄС третій стороні для обробки, між вами МАЄ бути укладений договір у письмовій (або електронній) формі.

Що стаття 28 вимагає від DPA: - Процесор обробляє дані ТІЛЬКИ за задокументованими інструкціями контролера - Зобов’язання конфіденційності для всіх, хто має доступ до даних - Процесор видаляє або повертає всі дані після закінчення надання послуг - Процесор надає контролеру всю інформацію для демонстрації відповідності GDPR - Субпроцесори можуть залучатися тільки з письмової згоди контролера

За порушення статті 28: штраф до €10 млн або 2% від світового річного обороту - залежно від того, яка сума більша.

Коли тобі потрібен DPA з DeepL¶

Простий тест: чи потрапляють персональні дані в текст, який ти відправляєш на переклад?

Персональні дані - це будь-яка інформація, що дозволяє ідентифікувати живу людину: ім’я, email, адреса, номер паспорта, ІПН, IP-адреса, медичні дані, банківські реквізити.

DPA обов’язковий, якщо ти перекладаєш через DeepL: - Листування з клієнтами (є імена, email-адреси) - Договори з фізичними особами (є паспортні дані, адреси) - Медичну документацію (особливо чутливі дані, ст. 9 GDPR) - HR-документи (зарплати, персональні дані співробітників) - Банківські виписки та фінансові документи клієнтів - Юридичні документи з даними про осіб

DPA не обов’язковий для чисто технічних або публічних текстів: перекладаєш умови використання, технічну документацію без персональних даних, маркетингові матеріали без згадки конкретних людей - DPA не потрібен. Але як тільки в тексті з’являється “Олена Петрівна, вул. Хрещатик 1” - він стає обов’язковим.

Як зазначає GDPR.eu, DPA потрібен навіть якщо обробка відбувається в дуже малому обсязі - немає порогового значення “ці дані занадто мало, щоб турбуватися”.

DeepL Free vs платні плани: критична різниця для GDPR¶

Це найважливіша частина статті, бо тут більшість людей роблять помилку.

DeepL Free - чому він не підходить для бізнесу¶

На безкоштовному плані: - DPA підписати неможливо - функція просто недоступна - DeepL може використовувати твої переклади для тренування нейронних мереж (це вказано в умовах використання) - Немає гарантій щодо часу зберігання даних - Немає юридичного захисту для тебе як контролера

Якщо компанія обробляє персональні дані EU-резидентів через DeepL Free - це пряме порушення GDPR, навіть якщо компанія зареєстрована не в ЄС, але обслуговує EU-клієнтів.

DeepL Pro / API / Teams - що це дає¶

На платних планах: - DPA доступний і підписується електронно - Тексти видаляються одразу після перекладу (не зберігаються) - Дані не використовуються для тренування моделей (контрактна гарантія) - Дані не передаються іншим користувачам або третім сторонам (крім субпроцесорів, вказаних у DPA) - Шифрування в transit і at rest

Як пише DeepL на своїй сторінці про безпеку даних, для платних планів існує чіткий contractual commitment: “Your texts are not stored by DeepL, are not used to improve our service.”

Невелике застереження, про яке чесно пишуть незалежні аналітики: “not training” і “not retaining” - це різні речі. Технічні логи (метадані запитів: час, розмір файлу, без контенту) можуть зберігатися для billing і security. Але це набагато кращий стан, ніж Free план.

Як підписати DPA DeepL: покрокова інструкція¶

Крок 1. Перейти на платний план¶

DPA доступний тільки на: - DeepL Pro (особистий або командний план) - DeepL API (Advanced або вище) - DeepL Business / Enterprise

Безкоштовний план - не підходить.

Крок 2. Знайти секцію Legal Documents¶

Зайти в аккаунт DeepL → Settings → Legal Documents або Data Processing Agreement. Залежно від версії інтерфейсу, це може бути в розділі Account Settings → Security & Privacy.

Крок 3. Перейти через Trust Center (альтернативний шлях)¶

Якщо не знайшов через інтерфейс - DeepL має окремий Trust Center на deepl.safebase.us. Там можна запросити DPA через корпоративну пошту. Потрібна пошта корпоративного домену (не gmail.com, не outlook.com особистий).

Крок 4. Переглянути список субпроцесорів¶

Перед підписанням - ознайомся зі списком субпроцесорів. Це компанії, яким DeepL передає дані для надання послуг (хостинг, безпека тощо). Станом на 2026 рік список включає AWS - про це детальніше в наступному розділі.

Крок 5. Підписати електронно і зберегти¶

Більшість компаній підписують електронно через інтерфейс. Підписаний DPA зберігай як частину своєї документації по ст. 30 GDPR (реєстр операцій обробки). Якщо твоя сфера вимагає wet signature (юридичні фірми, фармацевтика) - зверніться до sales DeepL для окремих умов.

DeepL і AWS у 2026: нова compliance-проблема¶

20 травня 2026 DeepL оголосив про додавання AWS як субпроцесора - і це стало гарячою темою серед regulated industries.

До цього моменту всі дані платних клієнтів оброблялися виключно на власних серверах DeepL у Німеччині та Ісландії. Це було однією з ключових переваг DeepL над конкурентами: 100% EU processing, без американської хмари.

Тепер ситуація змінилася. Що DeepL гарантує: - Шифрування in transit і at rest; ключі залишаються у DeepL, не в AWS - Клієнти з вимогами до data residency можуть налаштувати EU-only - Є опція BYOK (Bring Your Own Key) - якщо ти відкликаєш свій ключ, дані стають недоступними навіть для AWS - Всі сертифікати (ISO 27001, SOC 2 Type II, BSI C5, HIPAA) зберігаються

Чому це все одно проблема для деяких компаній: US CLOUD Act. AWS - американська компанія. CLOUD Act дозволяє американським органам запитувати дані у американських компаній незалежно від того, де фізично знаходяться сервери. Навіть якщо дані зашифровані і сервери у Франкфурті - правова вимога може надійти до AWS.

Як написав Heise Online: “DeepL, яка позиціонувала себе як EU-first альтернативу американським хмарним провайдерам, тепер будує на тій самій хмарній інфраструктурі, якої вона намагалася уникнути.”

Для більшості компаній це не критично - DeepL залишається одним з найбільш GDPR-сумісних сервісів перекладу. Але для юридичних фірм, лікарень, фармкомпаній і держструктур, які вибирали DeepL саме через EU-only processing, це вимагає перегляду оцінки ризиків.

Клієнти, які не погодилися з новими умовами до 19 травня 2026, матимуть припинення підписки до 31 грудня 2026.

DeepL vs Google Translate: порівняння з точки зору GDPR¶

Ключова відмінність Google Cloud Translation API від DeepL Pro: Google не прив’язує обробку до конкретного регіону, дані йдуть через глобальну інфраструктуру Google. Крім того, Google збирає метадані, які прив’язуються до Google-аккаунту і можуть використовуватися cross-service.

Для EU-бізнесу, якому важлива GDPR-відповідність - DeepL Pro залишається кращим вибором, навіть з урахуванням AWS-питання.

Сертифікати безпеки DeepL у 2026¶

DeepL (станом на травень 2026) має такі незалежні сертифікати:

• ISO 27001:2022 - міжнародний стандарт управління інформаційною безпекою
• SOC 2 Type II - аудит систем безпеки, доступності, конфіденційності
• BSI C5 Type 2 - німецький стандарт хмарної безпеки (Bundesamt für Sicherheit in der Informationstechnik)
• HIPAA - стандарт захисту медичних даних (США, але використовується глобально)
• GDPR - відповідність регуляції ЄС

Всі ці сертифікати доступні для перегляду в Trust Center DeepL. Це важливо для корпоративних клієнтів, яким потрібно документувати due diligence при виборі постачальника.

Що включити в свій реєстр обробки даних (Article 30)¶

Якщо ти підписав DPA з DeepL - не забудь оновити свій внутрішній реєстр за ст. 30 GDPR. Що туди включити:

Практичні поради¶

Перевір тип плану в команді. Якщо хтось з колег “просто зайшов і користується DeepL” - перевір, чи це платний план з DPA. Корпоративна ліцензія повинна охоплювати всіх, хто перекладає дані клієнтів.

Визнач, які документи містять персональні дані. Не кожен переклад вимагає DPA - тільки той, що стосується персональних даних EU-резидентів. Якщо перекладаєш лише публічні матеріали - можеш не хвилюватися.

Запроси DPA у всіх своїх постачальників перекладу. DeepL - не єдиний сервіс, де може виникнути це питання. Якщо використовуєш кілька інструментів (Google Cloud Translation, Azure Translator, інші) - у кожного має бути підписаний DPA.

Зверни увагу на субпроцесорів. У DPA DeepL є список субпроцесорів. За GDPR, якщо субпроцесор змінюється - тобі мають повідомити, і ти маєш право заперечити. Саме це відбулося у травні 2026 з AWS.

Enterprise-варіант для високочутливих даних. Для юридичних фірм, лікарень і держструктур DeepL пропонує enterprise-варіант з можливістю деплою у власному IT-середовищі через AWS Marketplace. Тоді дані взагалі не виходять за межі твоєї інфраструктури.

Джерела¶

1. GDPR Article 28 — Processor obligations (EUR-Lex)
2. DeepL Pro Data Security
3. DeepL Trust Center
4. DeepL розширює інфраструктуру — AWS migration (офіційний блог)
5. Cybernews: DeepL та AWS — питання суверенітету даних
6. Compound Law: GDPR-аналіз DeepL DPA
7. GDPR.eu: Що таке Data Processing Agreement
8. Heise Online: DeepL тепер спирається на AWS