scryp
Все статьи
7 мин чтения

Почему ваши транскрипции должны оставаться в ЕС

Аудиозаписи встреч, интервью или диктовки почти всегда содержат персональные данные – голоса, имена, мнения, иногда данные о здоровье или коммерческие тайны. Тем не менее большинство сервисов транскрипции обрабатывают эти данные на серверах в Соединённых Штатах.

Для европейских компаний, юридических фирм, медицинских практик и госучреждений это не просто теоретический риск – это ощутимая проблема защиты данных. Эта статья объясняет, почему место обработки данных является решающим и на что вам стоит обратить внимание.

Проблема с серверами в США

Европейские данные на серверах в США подпадают под американский CLOUD Act. Власти США могут требовать их раскрытия – даже без постановления европейского суда. Это напрямую противоречит GDPR и было подтверждено решением Суда ЕС по делу Schrems II.

Американский CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) позволяет властям США требовать раскрытия данных от американских компаний – независимо от того, в какой стране находятся серверы. Сервис транскрипции с местонахождением в США подпадает под этот закон, даже если эксплуатирует ЦОД в Европе.

Решение Schrems II Суда Европейского союза (дело C-311/18, июль 2020) подтвердило, что США не обеспечивают адекватный уровень защиты данных в смысле GDPR. Privacy Shield был признан недействительным. EU-US Data Privacy Framework (DPF) 2023 года призван решить проблему, но уже оспаривается юридически.

Для компаний это означает: кто передаёт аудиозаписи, содержащие персональные данные, сервису из США, несёт риск, что правовая основа для передачи данных снова исчезнет.

Что на самом деле означает «данные в ЕС»

Не каждый сервис, рекламирующий «ЦОД в ЕС», обеспечивает настоящий суверенитет данных. Решающими являются три пункта:

  • Местонахождение компании: Американская компания с серверами в ЕС всё равно подпадает под CLOUD Act. Только компания с местонахождением в ЕС полностью подчиняется европейскому праву.
  • Оператор инфраструктуры: Кто физически эксплуатирует серверы? Европейский хостинг вроде Hetzner подчиняется исключительно европейскому праву. AWS, Google Cloud или Azure – даже с регионами в ЕС – это американские компании.
  • Сертификаты: ISO 27001 — международный стандарт систем управления информационной безопасностью. Он подтверждает, что оператор ЦОД внедрил систематические меры защиты конфиденциальности, целостности и доступности.

Почему Hetzner как оператор ЦОД

scryp обрабатывает и хранит все данные исключительно у Hetzner в Германии. Это осознанное архитектурное решение:

  • Сертифицировано по ISO/IEC 27001 – Система управления информационной безопасностью регулярно проходит аудит независимыми аудиторами.
  • На 100 % немецкая компания – Никакой материнской компании в США, никакого доступа по CLOUD Act. Hetzner подчиняется исключительно немецкому и европейскому праву.
  • Геоизбыточные ЦОД в Германии – Ваши данные никогда не покидают ЕС.
  • Собственное оборудование – Hetzner эксплуатирует собственные серверы и сетевую инфраструктуру. Никакой зависимости от американских гиперскейлеров.

Австрийская компания, европейские ценности

scryp — австрийская компания. Вся наша команда, руководство и правовая структура находятся в ЕС. Это означает:

  • Мы подчиняемся исключительно европейскому праву – GDPR, DSG (Австрия), никакого CLOUD Act.
  • Никакую материнскую компанию в США нельзя принудить к раскрытию данных.
  • Наша политика конфиденциальности следует австрийскому и европейскому праву – а не законам о защите данных Калифорнии или Делавэра.

Шифрование как дополнительная защита

Одного местонахождения сервера недостаточно. Даже на серверах в ЕС данные могут быть скомпрометированы – через хакерские атаки, внутренний доступ или технические ошибки. Поэтому scryp сочетает расположение в ЕС с шифрованием на стороне клиента:

  • Аудио шифруется в браузере, прежде чем попасть на сервер.
  • Транскрипции хранятся в зашифрованном виде– сервер никогда не видит открытый текст.
  • Даже в случае утечки данных они были бы бесполезны без личного ключа пользователя.

Это решающее отличие от сервисов, которые рекламируют «AES-256 at rest», но обрабатывают открытый текст на сервере, где потенциально могут его просматривать.

Чек-лист: суверенитет данных в сервисах транскрипции

  • Где находится компания? (ЕС vs. США)
  • Кто эксплуатирует серверы? (хостинг в ЕС vs. гиперскейлер в США)
  • Сертифицирован ли ЦОД по ISO 27001?
  • Подпадает ли поставщик под американский CLOUD Act?
  • Шифруются ли данные на стороне клиента или только на стороне сервера?
  • Удаляются ли исходные записи после обработки?
  • Есть ли договор об обработке данных (DPA) по ст. 28 GDPR?

Заключение

Место обработки данных — не маркетинговая деталь – оно определяет, какому правовому режиму подчиняются ваши данные. Для европейских компаний сочетание поставщика с местонахождением в ЕС, ЦОД в ЕС с сертификацией ISO 27001 и шифрования на стороне клиента является самым безопасным способом обрабатывать аудиоданные в соответствии с защитой приватности. Кто не предлагает эту защиту, перекладывает риск на вас.

Почему ваши транскрипции должны оставаться в ЕС