GDPR-комплаєнс для перекладацьких агентств: NDA, DPA, передача даних та хмарні інструменти¶
Корпоративний клієнт з Німеччини надсилає RFP і серед вимог бачите: “GDPR-compliant data processing, DPA required”. Ви підписуєте з фрілансерами NDA - і вважаєте що цього достатньо. Спойлер: ні. NDA і DPA - це різні документи з різними юридичними наслідками, і одного NDA для GDPR-комплаєнсу замало.
Перекладацьке агентство щодня працює з персональними даними: імена, дати народження, адреси, номери паспортів, медичні діагнози, банківські реквізити - все це є в документах клієнтів. За GDPR, обробка таких даних без належного захисту може коштувати до 20 мільйонів євро або 4% річного обороту - залежно від того, що більше.
Давайте розберемося що саме потрібно зробити, щоб ваше агентство було в повному комплаєнсі.
Чому перекладацькі агентства підпадають під GDPR¶
GDPR (General Data Protection Regulation) - регуляція ЄС яка регулює обробку персональних даних. Набула чинності у травні 2018 року і стосується будь-якої компанії, яка обробляє дані резидентів ЄС - незалежно від того, де ця компанія знаходиться.
Перекладацьке агентство підпадає під GDPR якщо:
- обробляє документи клієнтів з ЄС (паспорти, свідоцтва, договори)
- має клієнтів-компанії з ЄС
- використовує хмарні інструменти з серверами в ЄС
- має фрілансерів або співробітників в ЄС
На практиці це означає що переважна більшість агентств, які працюють з європейськими мовами, підпадають під GDPR. І це не залежить від розміру - агентство з 3 людей має ті ж обов’язки що й агентство з 300.
Згідно з офіційним текстом GDPR, стаття 3:
This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to the offering of goods or services to such data subjects in the Union.
Простою мовою: якщо ви перекладаєте документи для людей або компаній з ЄС - GDPR на вас поширюється, навіть якщо ваш офіс в Києві або Тбілісі.
Часта помилка: “ми ж не збираємо дані, а тільки перекладаємо”. За GDPR “обробка” (processing) - це будь-яка дія з персональними даними: отримання, зберігання, читання, передача іншій особі (наприклад, фрілансеру). Переклад документа з ім’ям і датою народження - це вже обробка персональних даних.
Контролер vs процесор: яка роль вашого агентства¶
GDPR розрізняє два ключові ролі:
- Контролер даних (data controller) - визначає цілі і засоби обробки даних. Це ваш клієнт
- Процесор даних (data processor) - обробляє дані від імені контролера. Це ваше агентство
Коли корпоративний клієнт відправляє вам документи для перекладу, він є контролером (його співробітники, його документи). Ваше агентство - процесор, який обробляє ці дані для конкретної мети (переклад).
Але є нюанс. Ваше агентство одночасно є і контролером - для власних даних:
- контактна інформація клієнтів в CRM
- персональні дані ваших штатних співробітників
- дані фрілансерів у вашій базі
- email-адреси в маркетингових розсилках
Це означає подвійну відповідальність: як процесор ви виконуєте вимоги клієнта-контролера, а як контролер - несете повну відповідальність за власні дані.
Ваші фрілансери-перекладачі, яким ви передаєте документи, є субпроцесорами (sub-processors). І для них теж потрібне окреме юридичне оформлення - про це далі.
NDA vs DPA: критична різниця, яку багато хто ігнорує¶
Це найпоширеніша помилка в перекладацькій індустрії. Більшість агентств підписують з фрілансерами NDA (Non-Disclosure Agreement) і вважають що все покрито. Але NDA і DPA - це принципово різні документи з різними функціями.
NDA (угода про нерозголошення):
- захищає конфіденційну інформацію від розголошення третім особам
- регулюється загальним договірним правом
- не має специфічних вимог до обробки персональних даних
- не містить вимог GDPR щодо повідомлення про витоки, видалення даних, права на аудит
DPA (Data Processing Agreement - угода про обробку даних):
- юридично обов’язковий документ за статтею 28 GDPR
- регулює конкретно обробку персональних даних
- містить 8 обов’язкових елементів (список нижче)
- передбачає конкретні обов’язки: повідомлення про витоки, видалення даних, сприяння в аудитах
A Data Processing Agreement (DPA) is a legally binding contract that states the rights and obligations of each party concerning the protection of personal data. GDPR Article 28 requires controllers to have a DPA in place with every processor.
NDA потрібен? Так. Але NDA не замінює DPA. Вам потрібні обидва документи.
8 обов’язкових елементів DPA за статтею 28(3)¶
Кожна DPA між вашим агентством і клієнтом (і між вами та фрілансерами) має містити:
| # | Елемент | Що це означає для агентства |
|---|---|---|
| 1 | Предмет і тривалість обробки | Переклад документів, термін дії договору |
| 2 | Характер і мета обробки | Лінгвістична обробка тексту з персональними даними |
| 3 | Типи персональних даних | Імена, адреси, дати народження, медичні дані, фінансові дані |
| 4 | Категорії суб’єктів даних | Співробітники клієнта, їх родичі, контрагенти |
| 5 | Обов’язки і права контролера | Інструкції щодо обробки, право на аудит |
| 6 | Конфіденційність | Всі хто мають доступ зобов’язані зберігати конфіденційність |
| 7 | Технічні та організаційні заходи | Шифрування, контроль доступу, резервне копіювання |
| 8 | Умови залучення субпроцесорів | Порядок залучення фрілансерів, згода клієнта |
Порада: не пишіть DPA з нуля. Використовуйте шаблони стандартних контрактних клаузул від Єврокомісії як основу і адаптуйте під перекладацьку специфіку. Якщо ваш бюджет дозволяє - попросіть юриста перевірити фінальний документ.
Фрілансери як субпроцесори: як оформити правильно¶
Якщо ваше агентство працює з зовнішніми перекладачами (а це переважна більшість агентств), кожен фрілансер, який отримує доступ до персональних даних в документах, є субпроцесором за GDPR.
Що це означає на практиці:
1. Письмовий дозвіл від клієнта¶
За статтею 28(2) GDPR, процесор не може залучати субпроцесора без письмового дозволу контролера. Є два варіанти:
- Конкретний дозвіл - на кожного фрілансера окремо (непрактично для агентства з десятками перекладачів)
- Загальний дозвіл - клієнт дозволяє залучати субпроцесорів за умови попереднього повідомлення та права заперечити
Більшість агентств включають загальний дозвіл у основний договір. Але клієнт зберігає право заперечити проти конкретного субпроцесора - і ви зобов’язані це повідомлення надіслати до початку роботи.
2. DPA з кожним фрілансером¶
Так, кожен фрілансер потребує окрему DPA. Це може бути стандартний документ який усі підписують при онбордингу, але він має бути. NDA без DPA - це комплаєнс-пробіл.
3. Перевірка безпеки фрілансера (due diligence)¶
Ви зобов’язані перевірити що фрілансер має достатні технічні і організаційні заходи безпеки:
- шифрування при передачі файлів (мінімум TLS 1.2, краще SFTP або захищений хмарний простір)
- зберігання документів на захищеному пристрої з паролем
- видалення клієнтських даних після завершення проєкту
- заборона використання публічного Wi-Fi для роботи з конфіденційними документами
- актуальний антивірус і оновлена ОС
Як зазначає юридичний портал PLANIT//LEGAL:
Self-employed contractors who process personal data on behalf of a company are considered data processors under GDPR. The contracting company must ensure that the freelancer provides sufficient guarantees for data protection.
4. Відповідальність за витоки¶
Якщо фрілансер допустить витік даних, перед клієнтом і регулятором відповідаєте ви, а не фрілансер. Ви можете потім стягнути збитки з фрілансера через DPA (якщо вона правильно складена), але первинна відповідальність - завжди на процесорі.
Тому в DPA з фрілансером обов’язково включіть:
- обов’язок негайно (протягом 24 годин) повідомити вас про будь-який інцидент
- відповідальність за збитки, спричинені порушенням умов DPA
- право на аудит безпеки (хоча б дистанційний - опитувальник)
Передача даних за межі ЄС¶
Якщо ваше агентство знаходиться за межами ЄС (наприклад, в Україні), а клієнти - в ЄС, ви передаєте дані за межі Європейського економічного простору (ЄЕП). GDPR суворо регулює такі трансфери через статті 44-49.
Три законні механізми передачі¶
1. Рішення про адекватність (Adequacy Decision)
Єврокомісія визнає що країна забезпечує адекватний рівень захисту даних. Станом на 2026 рік, рішення про адекватність мають: Великобританія, Японія, Південна Корея, США (через EU-US Data Privacy Framework), Канада (комерційний сектор), Аргентина, Ізраїль, Нова Зеландія та ще кілька країн.
Україна не має рішення про адекватність. Тому для передачі даних з ЄС в Україну потрібен інший механізм.
2. Стандартні контрактні клаузули (SCCs)
Це найпоширеніший і найпрактичніший механізм для країн без адекватності. SCCs - типовий набір контрактних умов, затверджений Єврокомісією, який включається в договір між контролером/процесором в ЄС і отримувачем за межами ЄС.
Після рішення Schrems II (2020) до SCCs додалася обов’язкова вимога - Transfer Impact Assessment (TIA). Це оцінка того, чи можуть закони країни-отримувача завадити виконанню умов SCCs.
Для України TIA зазвичай показує прийнятний рівень ризику - але цей документ потрібно підготувати і зберігати.
3. Binding Corporate Rules (BCRs)
Внутрішньокорпоративні правила для великих міжнародних компаній. Для більшості перекладацьких агентств це занадто складно і дорого - SCCs набагато практичніші.
Що це означає на практиці¶
Якщо ви в Україні і працюєте з клієнтами з ЄС:
- Включіть SCCs у вашу DPA (Єврокомісія має готові шаблони)
- Проведіть TIA і задокументуйте його
- Переглядайте TIA щорічно - законодавство змінюється
Те ж саме стосується фрілансерів за межами ЄС: якщо ви передаєте документи перекладачу в Індії або Латинській Америці - SCCs + TIA обов’язкові і для цього трансферу.
Хмарні інструменти: які безпечні для GDPR¶
Більшість перекладацьких агентств використовують хмарні CAT-інструменти, системи управління проєктами та MT-сервіси. Кожен з них обробляє дані клієнтів - і кожен має відповідати GDPR.
Як зазначає Європейська комісія:
Many translation tools store your texts on their servers, sometimes even training AI models on your data. Before using any cloud-based tool, check the terms of service carefully.
Порівняння безпеки популярних інструментів¶
| Інструмент | GDPR-комплаєнс | Сертифікації | Зберігання тексту | DPA доступна | Сервери |
|---|---|---|---|---|---|
| DeepL Pro | Так | ISO 27001, SOC 2 Type II | Не зберігає | Так | ЄС (Німеччина) |
| Google Translate (безкоштовний) | Ні | - | Використовує для тренування | Ні | Глобальні |
| Google Cloud Translation API | Так | ISO 27001, SOC 2 | Не зберігає (за замовчуванням) | Так | Вибір регіону |
| Smartcat | Так | ISO 27001 | Зберігає в TM | Так | ЄС + США |
| Phrase (Memsource) | Так | ISO 27001 | Зберігає в TM | Так | ЄС |
| memoQ Cloud | Так | ISO 27001 | Зберігає в TM | Так | ЄС |
| ChatGPT / Claude API | Частково | SOC 2 | Залежить від плану | Так (Business/Enterprise) | США + ЄС |
| SDL Trados (Desktop) | N/A | - | Локально | N/A | Локально |
Ключові правила при виборі інструментів¶
- Підпишіть DPA з кожним SaaS-провайдером. Це не опція - це юридична вимога
- Перевірте де фізично знаходяться сервери. Для клієнтів з ЄС бажано - сервери в ЄС
- Переконайтеся що інструмент не використовує ваші тексти для тренування AI-моделей
- Безкоштовні версії MT (Google Translate, безкоштовний DeepL) - категорично не для конфіденційних документів
- Desktop-рішення (Trados, memoQ Server) - найбезпечніші з точки зору GDPR, бо дані не покидають вашу інфраструктуру
Окремо про AI-інструменти: якщо ви використовуєте ChatGPT або Claude для пост-редагування або чернеткового перекладу, переконайтеся що ви на бізнес-плані з DPA і що опція “тренування на ваших даних” вимкнена. Безкоштовні або персональні тарифи зазвичай не гарантують конфіденційності.
Чек-лист GDPR-комплаєнсу для перекладацького агентства¶
Практичний список дій від найважливіших до бажаних:
Критичні (без цього - ви не в комплаєнсі)¶
| # | Що зробити | Деталі |
|---|---|---|
| 1 | Підготувати шаблон DPA для клієнтів | На основі SCCs від Єврокомісії, адаптований під переклад |
| 2 | Підготувати шаблон DPA для фрілансерів | З вимогами до безпеки, відповідальності, видалення даних |
| 3 | Підписати DPA з кожним хмарним інструментом | DeepL, Smartcat, Phrase - у всіх є готова DPA на сайті |
| 4 | Створити реєстр обробки даних (ROPA) | Які дані, від кого, навіщо, кому передаєте, коли видаляєте |
| 5 | Розробити процедуру повідомлення про витік | 72 години на повідомлення регулятора (стаття 33 GDPR) |
| 6 | Включити SCCs в договори (якщо ви за межами ЄС) | Шаблони доступні на сайті Єврокомісії |
Важливі (підвищують рівень захисту)¶
| # | Що зробити | Деталі |
|---|---|---|
| 7 | Оновити Privacy Policy на сайті | Яку інформацію збираєте, навіщо, як довго зберігаєте |
| 8 | Провести навчання для співробітників і фрілансерів | Базові правила роботи з персональними даними |
| 9 | Впровадити шифрування передачі файлів | Мінімум TLS 1.2, бажано SFTP або захищений портал |
| 10 | Встановити строки зберігання і процедуру видалення | Не зберігайте дані довше ніж потрібно для виконання замовлення |
| 11 | Підготувати TIA для трансфертів за межі ЄС | Задокументуйте оцінку ризиків законодавства вашої країни |
Бажані (конкурентна перевага)¶
| # | Що зробити | Деталі |
|---|---|---|
| 12 | Призначити DPO або відповідального за захист даних | Обов’язково якщо обробляєте багато медичних/судових даних |
| 13 | Отримати ISO 27001 сертифікацію | Стандарт інформаційної безпеки, підвищує довіру Enterprise-клієнтів |
| 14 | Проводити щорічний аудит процесів | Перевіряти актуальність DPA, TIA, процедур безпеки |
Про правило 72 годин: якщо стався витік персональних даних (фрілансер втратив ноутбук, зламали email, документ потрапив не тому адресату), ви зобов’язані повідомити наглядовий орган протягом 72 годин з моменту виявлення. Якщо витік загрожує правам суб’єктів даних - повідомити також і їх.
Порада: підготуйте шаблон повідомлення про витік заздалегідь. У момент кризи ви не зможете думати чітко і юридично коректно формулювати.
Штрафи і реальні ризики¶
Максимальні штрафи за GDPR виглядають лякаюче: до 20 млн євро або 4% глобального обороту. На практиці для малого і середнього бізнесу штрафи зазвичай складають від 5 000 до 100 000 євро - за даними GDPR Enforcement Tracker, який відстежує всі публічні штрафи.
Але штраф - це не найстрашніше. Реальні ризики для агентства:
- Втрата клієнтів. Enterprise-компанії вимагають GDPR-комплаєнс як умову тендеру. Немає DPA - немає контракту. Це може коштувати набагато більше ніж будь-який штраф
- Репутаційні збитки. Витік даних клієнта - це новина яка розходиться швидко, особливо в тісній перекладацькій спільноті
- Витрати на ліквідацію наслідків. Юристи, аудитори, повідомлення регуляторів, повідомлення постраждалих - навіть невеликий інцидент може коштувати 10 000-30 000 євро
Для маленького агентства з оборотом 100 000-200 000 євро на рік навіть мінімальний штраф в 5 000 євро - це відчутно. А втрата великого корпоративного клієнта через відсутність DPA - ще відчутніше.
Хороша новина: базовий GDPR-комплаєнс для невеликого агентства - це не ракетобудування. Реальна собівартість впровадження - 2-4 тижні роботи і 500-2 000 євро на юриста для перевірки документів. Порівняно з потенційними збитками - це інвестиція яка окупається одним корпоративним контрактом.
FAQ¶
Чи потрібен DPO (Data Protection Officer) перекладацькому агентству?¶
DPO обов’язковий якщо ваше агентство систематично обробляє великі обсяги даних або працює зі спеціальними категоріями даних (медичні, судові). На практиці більшість невеликих агентств (до 20 осіб) можуть призначити внутрішнього відповідального замість повноцінного DPO. Але якщо ви регулярно перекладаєте медичну документацію або судові матеріали - DPO варто розглянути серйозно.
NDA з фрілансером достатньо для GDPR-комплаєнсу?¶
Ні. NDA захищає конфіденційність, але не регулює обробку персональних даних відповідно до GDPR. Вам потрібна окрема DPA (Data Processing Agreement) з кожним фрілансером який отримує доступ до документів з персональними даними. Правильна комбінація: NDA (конфіденційність) + DPA (обробка даних).
Що робити якщо фрілансер втратив документ з персональними даними?¶
Це кваліфікується як витік даних (data breach) за статтею 4(12) GDPR. Ваші дії: (1) зафіксувати інцидент, (2) повідомити наглядовий орган протягом 72 годин, (3) оцінити ризик для суб’єктів даних, (4) повідомити клієнта. DPA з фрілансером має зобов’язувати його негайно (протягом 24 годин) повідомити вас про будь-який інцидент з безпекою.
Чи можна використовувати безкоштовний Google Translate для документів клієнтів?¶
Ні, безкоштовний Google Translate не підходить для конфіденційних документів. Google зазначає в Terms of Service що може використовувати введений текст для покращення сервісу. Для роботи з персональними даними використовуйте або платні сервіси з DPA (DeepL Pro, Google Cloud Translation API), або desktop-інструменти (Trados, memoQ) де дані не покидають ваш комп’ютер.
Скільки часу займає впровадження GDPR-комплаєнсу в агентстві?¶
Для невеликого агентства (до 10 осіб) базовий комплаєнс можна впровадити за 2-4 тижні: підготувати шаблони DPA, оновити договори з клієнтами і фрілансерами, створити ROPA, провести навчання, налаштувати безпечну передачу файлів. Повний комплаєнс з аудитом, TIA і можливою ISO-сертифікацією - 2-3 місяці.
Чи поширюється GDPR на агентства з України?¶
Так, якщо ви обробляєте дані резидентів ЄС або надаєте послуги компаніям в ЄС. Географічне розташування агентства не має значення - має значення чиї дані ви обробляєте і кому надаєте послуги. Це прямо зазначено в статті 3 GDPR - так званий екстратериторіальний принцип.