scryp
Все статьи
8 мин чтения

GDPR и транскрипция: что нужно знать компаниям

Кто записывает встречи, транскрибирует интервью или обрабатывает диктовку, обрабатывает персональные данные. Голоса, имена, мнения, иногда данные о здоровье или коммерческие тайны – всё это подпадает под Общий регламент по защите данных (GDPR). Тем не менее многие компании используют сервисы транскрипции, не зная правовых требований.

Эта статья объясняет, какие обязанности действуют, где кроются самые частые ошибки и как использовать транскрипцию с соблюдением требований защиты данных.

Почему аудиозаписи особенно чувствительны

Аудиозаписи содержат биометрические признаки (голос), часто имена и регулярно чувствительную информацию. В Германии непублично сказанное слово дополнительно защищено § 201 Уголовного кодекса, а в Австрии § 120 Уголовного кодекса. Запись, сделанная без ведома участников, поэтому может быть уголовным преступлением.

GDPR классифицирует обработку аудиоданных как обработку персональных данных согласно ст. 4 п. 2. Это означает: каждая запись, хранение и транскрипция нуждаются в правовом основании.

Правовые основания для транскрипции

Самым безопасным правовым основанием для транскрипций является явное согласие всех сторон согласно ст. 6 п. 1 подп. a) GDPR. Альтернативы вроде законного интереса или исполнения договора трудно отстоять на практике, потому что суды считают ручные протоколы менее инвазивным вариантом.

Ст. 6 п. 1 GDPR перечисляет несколько возможных правовых оснований. Для транскрипций актуальны три:

  • Согласие (ст. 6 п. 1 подп. a) – Самое безопасное основание. Все стороны должны быть проинформированы до записи и активно согласиться. Согласие должно быть свободным, информированным и отзывным.
  • Законный интерес (ст. 6 п. 1 подп. f) – Теоретически возможен, на практике сложен. Суды и органы по защите данных доказывают, что ручной протокол — менее инвазивный вариант.
  • Исполнение договора (ст. 6 п. 1 подп. b) – Защитимо только в исключительных случаях, например когда транскрипция явно является частью договора.

Практическая рекомендация: Всегда получайте явное согласие. Для встреч это следует сделать письменно в приглашении и устно в начале.

Особые категории: данные о здоровье и другое

Если записи содержат данные о здоровье (медицинская диктовка), членство в профсоюзе или религиозные убеждения, применяется ст. 9 GDPR. Эти особые категории требуют явного согласия – молчаливого согласия недостаточно.

Обязанности по прозрачности: что вы должны раскрыть

Ст. 13 и 14 GDPR обязывают компании исчерпывающе информировать субъектов данных до записи:

  • Что запись и транскрипция имеют место и с какой целью
  • Как долго хранятся записи и транскрипции
  • Кто получает доступ к данным (внутри и снаружи)
  • Используется ли сторонний поставщик (сервис транскрипции)
  • Какие права имеют субъекты данных (доступ, удаление, возражение)

Проблема с облачными сервисами транскрипции

Многие инструменты транскрипции обрабатывают аудио на серверах за пределами ЕС. Это проблематично с точки зрения защиты данных:

  • Передача в третьи страны: Без адекватного уровня защиты (решение об адекватности, стандартные договорные условия) передача незаконна.
  • Обработка по поручению: Сервис транскрипции является обработчиком согласно ст. 28 GDPR – договор об обработке данных (DPA) обязателен.
  • Доступ поставщика: При обработке на стороне сервера поставщик имеет доступ к открытому тексту – риск, который многие компании недооценивают.

Самое безопасное решение: шифрование на стороне клиента

Шифрование на стороне клиента — самая сильная техническая мера защиты согласно ст. 32 GDPR. Аудиофайлы шифруются в браузере, прежде чем попасть на сервер. Даже в случае утечки данных у поставщика данные без ключа пользователя бесполезны.

При шифровании на стороне клиента аудиофайлы шифруются в браузере, прежде чем попасть на сервер. Транскрипция тоже хранится в зашифрованном виде – даже поставщик не может прочитать сохранённое содержание.

Для GDPR это означает: даже в случае утечки данных у поставщика данные бесполезны, потому что без ключа пользователя их нельзя расшифровать. Это самая сильная техническая мера согласно ст. 32 GDPR.

Чек-лист для транскрипции с соблюдением требований защиты данных

  • Получите согласие всех сторон до записи
  • Задокументируйте цель и срок хранения
  • Заключите с поставщиком договор об обработке данных
  • Проверьте, где обрабатываются и хранятся данные (ЕС vs. третья страна)
  • Обеспечьте шифрование – в идеале на стороне клиента
  • Определите концепцию удаления: когда удаляются записи и транскрипции?
  • Гарантируйте права субъектов данных (доступ, удаление, возражение)
  • Ведите реестр операций обработки согласно ст. 30 GDPR

Заключение

Транскрипция без защиты данных — это правовой риск. GDPR предъявляет чёткие требования к согласию, прозрачности и техническим мерам защиты. Компании, обрабатывающие аудиозаписи, должны тщательно проверить свой сервис транскрипции – в частности, имеет ли поставщик доступ к открытому тексту и где хранятся данные.

Примечание: Эта статья служит общим информационным целям и не заменяет юридическую консультацию в конкретных случаях.

GDPR и транскрипция: что нужно знать компаниям