scryp
Wszystkie artykuły
8 min czytania

RODO a transkrypcja: co firmy muszą wiedzieć

Kto nagrywa spotkania, transkrybuje wywiady lub przetwarza dyktowanie, przetwarza dane osobowe. Głosy, imiona, opinie, czasem dane zdrowotne lub tajemnice handlowe – to wszystko podlega Ogólnemu rozporządzeniu o ochronie danych (RODO). Mimo to wiele firm korzysta z usług transkrypcji, nie znając wymogów prawnych.

Ten artykuł wyjaśnia, jakie obowiązki obowiązują, gdzie kryją się najczęstsze błędy i jak używać transkrypcji zgodnie z ochroną prywatności.

Dlaczego nagrania audio są szczególnie wrażliwe

Nagrania audio zawierają cechy biometryczne (głos), często imiona i regularnie informacje wrażliwe. W Niemczech słowo wypowiedziane niepublicznie jest dodatkowo chronione przez § 201 kodeksu karnego, a w Austrii przez § 120 kodeksu karnego. Nagranie wykonane bez wiedzy uczestników może więc być przestępstwem.

RODO klasyfikuje przetwarzanie danych audio jako przetwarzanie danych osobowych zgodnie z art. 4 ust. 2. Oznacza to: każde nagranie, przechowywanie i transkrypcja potrzebuje podstawy prawnej.

Podstawy prawne transkrypcji

Najbezpieczniejszą podstawą prawną dla transkrypcji jest wyraźna zgoda wszystkich stron zgodnie z art. 6 ust. 1 lit. a) RODO. Alternatywy jak prawnie uzasadniony interes czy wykonanie umowy są trudne do wyegzekwowania w praktyce, bo sądy uznają ręczne protokoły za mniej inwazyjną opcję.

Art. 6 ust. 1 RODO wymienia kilka możliwych podstaw prawnych. Dla transkrypcji istotne są trzy:

  • Zgoda (art. 6 ust. 1 lit. a) – Najbezpieczniejsza podstawa. Wszystkie strony muszą być poinformowane przed nagraniem i aktywnie wyrazić zgodę. Zgoda musi być dobrowolna, świadoma i odwoływalna.
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) – Teoretycznie możliwy, w praktyce trudny. Sądy i organy ochrony danych argumentują, że ręczny protokół jest mniej inwazyjną opcją.
  • Wykonanie umowy (art. 6 ust. 1 lit. b) – Do obrony tylko w wyjątkowych przypadkach, na przykład gdy transkrypcja jest wyraźnie częścią umowy.

Zalecenie praktyczne: Zawsze uzyskuj wyraźną zgodę. W przypadku spotkań powinno się to odbyć pisemnie w zaproszeniu i ustnie na początku.

Kategorie szczególne: dane zdrowotne i inne

Jeśli nagrania zawierają dane zdrowotne (dyktowanie medyczne), przynależność związkową lub przekonania religijne, obowiązuje art. 9 RODO. Te kategorie szczególne wymagają wyraźnej zgody – milcząca zgoda nie wystarczy.

Obowiązki informacyjne: co musisz ujawnić

Art. 13 i 14 RODO zobowiązują firmy do wyczerpującego poinformowania osób, których dane dotyczą, przed nagraniem:

  • Że nagranie i transkrypcja mają miejsce i w jakim celu
  • Jak długo nagrania i transkrypcje są przechowywane
  • Kto uzyskuje dostęp do danych (wewnętrznie i zewnętrznie)
  • Czy używany jest dostawca zewnętrzny (usługa transkrypcji)
  • Jakie prawa mają osoby, których dane dotyczą (dostęp, usunięcie, sprzeciw)

Problem z chmurowymi usługami transkrypcji

Wiele narzędzi do transkrypcji przetwarza audio na serwerach poza UE. To problematyczne z punktu widzenia ochrony danych:

  • Przekazywanie do krajów trzecich: Bez odpowiedniego poziomu ochrony (decyzja o adekwatności, standardowe klauzule umowne) przekazanie jest niezgodne z prawem.
  • Przetwarzanie w imieniu administratora: Usługa transkrypcji jest podmiotem przetwarzającym zgodnie z art. 28 RODO – umowa powierzenia przetwarzania danych (DPA) jest obowiązkowa.
  • Dostęp dostawcy: Przy przetwarzaniu po stronie serwera dostawca ma dostęp do tekstu jawnego – ryzyko, które wiele firm niedocenia.

Najbezpieczniejsze rozwiązanie: szyfrowanie po stronie klienta

Szyfrowanie po stronie klienta jest najsilniejszym zabezpieczeniem technicznym zgodnie z art. 32 RODO. Pliki audio są szyfrowane w przeglądarce, zanim trafią na serwer. Nawet w razie wycieku danych u dostawcy dane są bez klucza użytkownika bezwartościowe.

Przy szyfrowaniu po stronie klienta pliki audio są szyfrowane w przeglądarce, zanim trafią na serwer. Transkrypcja jest również przechowywana w postaci zaszyfrowanej – nawet dostawca nie może odczytać przechowywanej treści.

Dla RODO oznacza to: nawet w razie wycieku danych u dostawcy dane są bezwartościowe, bo bez klucza użytkownika nie można ich odszyfrować. To najsilniejszy środek techniczny zgodnie z art. 32 RODO.

Checklista zgodnej z prywatnością transkrypcji

  • Uzyskaj zgodę wszystkich stron przed nagraniem
  • Udokumentuj cel i okres przechowywania
  • Zawrzyj z dostawcą umowę powierzenia przetwarzania danych
  • Sprawdź, gdzie dane są przetwarzane i przechowywane (UE vs. kraj trzeci)
  • Zapewnij szyfrowanie – najlepiej po stronie klienta
  • Zdefiniuj koncepcję usuwania: kiedy nagrania i transkrypcje są usuwane?
  • Zagwarantuj prawa osób, których dane dotyczą (dostęp, usunięcie, sprzeciw)
  • Prowadź rejestr czynności przetwarzania zgodnie z art. 30 RODO

Podsumowanie

Transkrypcja bez ochrony danych to ryzyko prawne. RODO stawia jasne wymagania dotyczące zgody, przejrzystości i zabezpieczeń technicznych. Firmy, które przetwarzają nagrania audio, powinny starannie sprawdzić swoją usługę transkrypcji – w szczególności to, czy dostawca ma dostęp do tekstu jawnego i gdzie dane są przechowywane.

Uwaga: Ten artykuł służy ogólnym celom informacyjnym i nie zastępuje porady prawnej w konkretnych przypadkach.

RODO a transkrypcja: co firmy muszą wiedzieć