€15 мільйонів. Стільки OpenAI заплатив за штраф від італійського регулятора Garante за порушення GDPR. І це ще м’яко - TikTok віддав €530 мільйонів за передачу даних європейських користувачів на китайські сервери. З 2018 року регулятори ЄС виписали понад 2 800 штрафів на загальну суму більше €6.2 мільярда. Якщо твій перекладацький бізнес використовує ШІ-інструменти для роботи з клієнтськими документами - кожне натискання “Translate” юридично є твоєю відповідальністю. І “я не знав” - не аргумент для регулятора.
Що GDPR вимагає від бізнесу, який використовує ШІ-переклад¶
Коли перекладацьке агентство або фрілансер завантажує клієнтський договір у DeepL або ChatGPT - це не просто “переклад”. З точки зору GDPR, відбувається обробка персональних даних. Імена, адреси, номери паспортів, медичні діагнози в документах - все це персональні дані, і закон чітко регламентує, хто і як має з ними працювати.
Ключове розмежування: ти - контролер даних (data controller), а ШІ-інструмент - процесор (data processor). Контролер вирішує, навіщо і як обробляються дані. Процесор виконує обробку за інструкціями контролера. І відповідальність за вибір надійного процесора лежить саме на тобі.
Три статті GDPR, які варто знати напам’ять:
Стаття 28 - Data Processing Agreement (DPA). Ти зобов’язаний підписати DPA з кожним ШІ-сервісом, який обробляє персональні дані твоїх клієнтів. Без DPA використання інструменту для документів з персональними даними - пряме порушення GDPR. Штраф: до €10 мільйонів або 2% річного обороту.
Статті 44-49 - передача даних за межі ЄС. Якщо ШІ-сервіс зберігає дані в США (як OpenAI) - потрібні додаткові гарантії: Standard Contractual Clauses (SCC), Adequacy Decision або інші механізми. Після скасування Privacy Shield у 2020 році і прийняття EU-US Data Privacy Framework у 2023 - ситуація ускладнилась, і не кожен сервіс має коректно оформлені механізми передачі.
Стаття 25 - Privacy by Design. Захист даних має бути вбудований у процеси з самого початку. Це означає: обирай інструменти, які за замовчуванням мінімізують збір і зберігання даних, а не ті, де потрібно вручну вимикати тренування на твоїх текстах.
DPA: документ, без якого не можна працювати¶
Data Processing Agreement - це не опція і не “приємний бонус”. Це юридична вимога GDPR (Стаття 28). Якщо ти обробляєш персональні дані клієнтів через ШІ-інструмент і не маєш підписаного DPA з цим сервісом - ти порушуєш закон. Навіть якщо жодного витоку не було.
Що має містити DPA:
- Предмет та тривалість обробки
- Категорії персональних даних, які обробляються
- Обов’язки процесора: шифрування, обмеження доступу, видалення після обробки
- Список субпроцесорів (які ще компанії мають доступ до даних)
- Процедура повідомлення про витік даних (data breach notification - 72 години за GDPR)
- Право контролера на аудит
Хто надає DPA:
| Сервіс | DPA доступний? | Як отримати |
|---|---|---|
| DeepL Pro | Так | Автоматично при підписці, завантажити з сайту |
| ChatGPT Enterprise / API | Так | Через портал OpenAI |
| Google Cloud Translation | Так | Через Google Cloud Console |
| Azure Translator | Так | Через Azure Terms of Service |
| Claude API | Так | Через Anthropic Privacy Center |
| Безкоштовні версії (всі) | Ні | DPA не надається |
Зверни увагу на останній рядок. Жоден безкоштовний ШІ-перекладач не надає DPA. Це означає: якщо ти використовуєш безкоштовний DeepL, Google Translate або ChatGPT Free для документів з персональними даними - ти автоматично порушуєш GDPR, навіть якщо витоку не було.
Детальніше про те, що відбувається з текстом у кожному сервісі - ми розбирали в окремій статті.
Порівняння ШІ-інструментів за GDPR-комплаєнсом¶
| Критерій | DeepL Pro | ChatGPT API | Google Cloud Translation | Azure Translator | Claude API |
|---|---|---|---|---|---|
| DPA | ✅ | ✅ | ✅ | ✅ | ✅ |
| ISO 27001 | ✅ | ✅ | ✅ | ✅ | ✅ |
| SOC 2 Type II | ✅ | ✅ | ✅ | ✅ | ✅ |
| Дата-центри в ЄС | ✅ (DE, FI) | ❌ (США) | ✅ (налаштовуване) | ✅ (налаштовуване) | ✅ (через AWS/GCP) |
| No-Trace | ✅ | ❌ (логи 30 днів) | ✅ | ✅ | ❌ (логи 7 днів) |
| Тренування на даних | ❌ | ❌ | ❌ | ❌ | ❌ |
| HIPAA | ✅ | ✅ (Enterprise) | ✅ | ✅ | ❌ |
| Ціна від | $8.74/міс | $0.002/1K токенів | $20/1M символів | $10/1M символів | $3/1M токенів |
Тепер по кожному сервісу.
DeepL Pro: найпростіший шлях до комплаєнсу¶
DeepL - німецька компанія зі штаб-квартирою в Кельні. Дані обробляються в ЄС (Німеччина, Фінляндія), компанія підпорядковується європейському законодавству напряму, без додаткових угод про трансграничну передачу.
Сертифікації: ISO 27001, SOC 2 Type II, BSI C5 Type 2 (німецький урядовий стандарт для хмарних сервісів). DPA входить автоматично в умови підписки. Текст видаляється одразу після перекладу - жодних логів, жодного тренування.
Мінус: DeepL - це NMT (neural machine translation), не LLM. Для стандартних документів працює відмінно. Для складних текстів, де потрібна адаптація стилю або контексту - LLM-моделі мають переваги.
ChatGPT API / Enterprise: потужний, але з нюансами¶
OpenAI отримав штраф €15 мільйонів від італійського Garante за порушення GDPR при тренуванні моделей. Це не означає, що API-версія небезпечна - але означає, що компанія вже була під увагою регуляторів.
Через API дані не використовуються для тренування. Зберігаються в логах 30 днів для моніторингу зловживань. Enterprise тариф має Zero Data Retention (ZDR) - текст не зберігається взагалі. DPA доступний.
Головна проблема: дата-центри в США. Для передачі даних з ЄС потрібен EU-US Data Privacy Framework. OpenAI заявляє про відповідність, але після скасування Privacy Shield (2020) і Safe Harbor (2015) питання трансатлантичної передачі даних залишається юридично нестабільним.
Якщо вже працюєш з ChatGPT - є конкретні промпти і підходи для перекладу, які допомагають отримати кращий результат.
Google Cloud Translation API¶
Google Cloud пропонує регіональні ендпоінти - можна вибрати, де саме обробляються дані. Для ЄС є європейські ендпоінти, що знімає питання передачі за межі ЄС. DPA входить у Google Cloud Terms. Сертифікації: повний набір - ISO, SOC, CSA STAR.
Текст не зберігається після перекладу і не використовується для тренування. Але це стосується тільки Cloud API. Безкоштовний Google Translate - зовсім інша історія: ми порівнювали його з DeepL і там все значно менш прозоро щодо даних.
Azure Translator: No-Trace як стандарт¶
Microsoft Azure Translator - єдиний великий сервіс із політикою No-Trace за замовчуванням на всіх тарифах, включаючи безкоштовний. Текст не записується в персистентне сховище ні до, ні після перекладу.
Сертифікації: ISO 27001, SOC 1/2/3, HIPAA, FedRAMP, CSA STAR. DPA через Azure Terms. Дата-центри можна вибирати по регіонах, включаючи кілька локацій в Європі.
Для бізнесу, який працює з медичними, юридичними або фінансовими документами і хоче мінімізувати ризик - Azure Translator об’єктивно найбезпечніший варіант за формальними критеріями. Мінус: інтеграція складніша за DeepL, потрібна технічна підготовка.
Claude API (Anthropic)¶
З березня 2026 Anthropic анонсував повноцінні сертифікації безпеки для Claude, включаючи SOC 2 і ISO 27001. DPA доступний через Anthropic Privacy Center. API-дані не використовуються для тренування, логи видаляються через 7 днів.
Для дата-резидентності в ЄС: Claude доступний через AWS Bedrock у Франкфурті або Google Vertex AI у Франкфурті. Це дозволяє тримати дані фізично в ЄС і значно спрощує GDPR-комплаєнс.
Claude як LLM відмінно справляється з контекстно-складними перекладами. Якщо шукаєш ШІ-перекладач з найкращою якістю - Claude один із лідерів.
Де фізично живуть дані і чому це критично¶
GDPR обмежує передачу персональних даних за межі ЄС (Статті 44-49). Якщо ти перекладаєш документ клієнта з Берліна через сервер у Каліфорнії - це трансгранична передача, і вона потребує юридичного обґрунтування.
| Механізм | Статус у 2026 | Ризик |
|---|---|---|
| EU-US Data Privacy Framework | Діє з 2023 | Може бути скасований (як два попередні механізми) |
| Standard Contractual Clauses (SCC) | Діє | Потребує оцінки впливу на передачу (TIA) |
| Дата-центр в ЄС | Найнадійніший варіант | Залежить від можливостей сервісу |
Практична рекомендація: обирай сервіси з дата-центрами в ЄС. DeepL (Німеччина - автоматично), Azure Translator (вибери EU-регіон), Google Cloud (EU-ендпоінт), Claude через AWS/GCP Frankfurt. Це найпростіший спосіб уникнути питань про трансграничну передачу.
EU AI Act: друга хвиля регуляцій починається 2 серпня 2026¶
GDPR - не єдиний закон, який стосується ШІ-перекладу. EU AI Act додає ще один рівень вимог. Ключова дата: 2 серпня 2026 - набирають чинності правила для високоризикових ШІ-систем.
За даними Slator (2024), дві третини перекладацьких агенцій вже регулярно використовують ШІ-інструменти. Це означає: вимоги AI Act торкнуться більшості бізнесів в індустрії.
Що зміниться:
- AI Literacy (Стаття 4): всі працівники, які використовують ШІ, мають мати достатній рівень AI-грамотності. Ця вимога вже діє з лютого 2025.
- Прозорість: якщо використовуєш ШІ для перекладу - клієнт має право знати. У деяких випадках потрібне маркування ШІ-згенерованого контенту.
- Управління ризиками: для бізнесів, які використовують ШІ у сферах, що впливають на права людей (юридичні документи, медичні висновки), можуть діяти підвищені вимоги.
GDPR штрафує за порушення обробки даних. AI Act додасть штрафи за неправильне використання ШІ-систем. Подвійне регуляторне навантаження - це реальність, до якої варто готуватись уже зараз.
До речі, ризики ШІ-перекладу - це не тільки дані. ШІ-галюцинації в юридичних перекладах - окрема загроза, яка також має правові наслідки.
Чеклист: як зробити перекладацький бізнес GDPR-комплаєнтним¶
1. Перейди на платні версії для документів з персональними даними¶
Безкоштовні ШІ-перекладачі не мають DPA і часто використовують твій текст для тренування. Мінімальна інвестиція - $8-10/міс за DeepL Pro або кілька доларів за API-виклики. Порівняй із потенційним штрафом до €10 мільйонів.
2. Підпиши DPA з кожним ШІ-сервісом¶
Завантаж і збережи DPA від DeepL, OpenAI, Google, Microsoft або Anthropic - залежно від того, що використовуєш. Це має бути у твоїй папці комплаєнс-документів і доступне для аудиту.
3. Обери сервіси з дата-центрами в ЄС¶
DeepL (автоматично в Німеччині), Azure Translator (EU-регіон на вибір), Google Cloud (EU-ендпоінт), Claude через AWS Bedrock Frankfurt. Так ти уникнеш складних питань про трансграничну передачу даних.
4. Документуй процеси обробки даних¶
Створи запис обробки (Record of Processing Activities - ROPA). Вкажи: які дані обробляєш, через які інструменти, на якій правовій підставі, як довго зберігаєш. Це вимога Статті 30 GDPR, і аудитори запитають це першим.
5. Анонімізуй документи перед ШІ-перекладом¶
Заміни імена, адреси, номери рахунків на плейсхолдери: [ІМ’Я], [АДРЕСА], [НОМЕР]. Після перекладу поверни оригінальні дані. Додатковий крок, але для критичних документів він різко зменшує ризик. Правильні промпти для перекладу теж допомагають контролювати процес.
6. Інформуй клієнтів¶
Додай у договір з клієнтом пункт про використання ШІ-інструментів. Вкажи які саме сервіси використовуєш і які заходи безпеки застосовуєш. Прозорість будує довіру і захищає юридично.
7. Перевіряй субпроцесорів¶
Кожен ШІ-сервіс має своїх субпроцесорів - хмарні провайдери, CDN-мережі, сервіси моніторингу. Переконайся, що ця інформація доступна і що субпроцесори теж відповідають GDPR.
8. Підготуйся до AI Act¶
Забезпеч AI-грамотність команди (Стаття 4 AI Act вже діє). Документуй, які ШІ-системи використовуєш і для чого. Дедлайн повної відповідності для високоризикових систем - 2 серпня 2026.
FAQ¶
Чи можу я використовувати безкоштовний DeepL для перекладу клієнтських документів?¶
Якщо документи містять персональні дані (імена, адреси, номери) - ні. Безкоштовний DeepL не надає DPA і використовує тексти для тренування моделей. Самі DeepL прямо забороняють це в умовах використання безкоштовної версії. DeepL Pro (від $8.74/міс) вирішує проблему: DPA включений, тексти видаляються одразу після перекладу.
Що таке DPA і чому це обов’язково?¶
Data Processing Agreement - це договір між тобою (контролер даних) і ШІ-сервісом (процесор даних), який регулює обробку персональних даних. Стаття 28 GDPR робить його обов’язковим. Без DPA використання будь-якого хмарного інструменту для документів з персональними даними - порушення закону. Штраф: до €10 мільйонів або 2% річного обороту.
Який ШІ-перекладач найбезпечніший для бізнесу в ЄС?¶
За сукупністю критеріїв (DPA, сертифікації, дата-резидентність, No-Trace) - Azure Translator і DeepL Pro лідирують. Azure має No-Trace за замовчуванням на всіх тарифах. DeepL - європейська компанія з повним набором сертифікацій і автоматичним зберіганням даних у ЄС. Для LLM-якості перекладу - Claude API через AWS Bedrock Frankfurt.
Як EU AI Act вплине на перекладацький бізнес?¶
AI Act додає нові вимоги поверх GDPR. З лютого 2025 вже діє обов’язок AI Literacy - всі, хто працює з ШІ, мають розуміти основи технології. З серпня 2026 набирають чинності правила для високоризикових систем. Для перекладацьких агенцій це означає: документування ШІ-інструментів, прозорість перед клієнтами і потенційно підвищені вимоги до перекладів у юридичній та медичній сферах.
Чи потрібен DPA, якщо я фрілансер, а не агентство?¶
Так. GDPR не робить винятків для розміру бізнесу. Якщо ти обробляєш персональні дані резидентів ЄС - правила стосуються тебе однаково. Фрілансер, який використовує ChatGPT для перекладу договорів, несе ту ж відповідальність, що й велике бюро перекладів.