Wybór asystenta spotkań zgodnego z RODO jest jednym z tych współczesnych problemów, których nikt nigdy nie chciał.

Ustawiasz prostą wideokonferencję, naciskasz przycisk nagrywania i nagle toniesz po kolana w przepisach dotyczących danych, zasadach dotyczących zgody i pytaniach dotyczących tego, gdzie faktycznie jest przechowywane Twoje spotkanie. Sam doświadczyłem tej paniki. Na długo przed oficjalnym wejściem w życie RODO zajmowałem się już rejestracjami ICO zgodnie ze starą ustawą o ochronie danych, a kiedy nowe rozporządzenie weszło w życie, tak bardzo martwiłem się, że popełnię błąd, że dla bezpieczeństwa zarejestrowałem się jako administrator danych.

Wydaje się, że RODO istnieje od zawsze, ponieważ pierwsza propozycja pojawiła się już w 2012 roku. Prawo zostało przyjęte w 2016 roku i weszło w życie w 2018 roku, ale lata poprzedzające to wydarzenie były chaotyczne. Skrzynki pocztowe zapełniały się wiadomościami z prośbą o pozostawanie subskrybentem. Firmy usuwały całe listy mailingowe, ponieważ bały się kar. Zespoły dodawały podwójną zgodę do wszystkiego, co się ruszało, ponieważ były zdezorientowane i nie chciały ryzykować.

I tak, kary były realne. Firma H&M otrzymała znaczną karę za prowadzenie szczegółowych, nieodpowiednich notatek na temat pracowników. Znana brytyjska strona internetowa poświęcona rodzicielstwu została ukarana grzywną za sprzedaż danych matek i dzieci grupom politycznym podczas wyborów. Pamiętam tylko tę sprawę, ponieważ nadal otrzymuję od nich e-maile promocyjne, mimo że moje dzieci są już nastolatkami i opanowały sztukę przewracania oczami.

Ma to jeszcze większe znaczenie w świecie asystentów spotkań opartych na sztucznej inteligencji. Narzędzia te rejestrują głosy, przechwytują dane klientów i przechowują rozmowy, które często zawierają informacje poufne lub wrażliwe. Wszystkie te elementy stanowią dane osobowe w rozumieniu RODO. Nagrania. Transkrypcje. Nawet podsumowania generowane przez sztuczną inteligencję. Jeśli więc pracujesz w Wielkiej Brytanii lub UE lub współpracujesz z osobami, które tam pracują, potrzebujesz asystenta spotkań, który jest rzeczywiście zgodny z RODO, a nie takiego, który po cichu przechowuje Twoje dane w regionie USA, składając niejasne obietnice dotyczące bezpieczeństwa.

W tym przewodniku wszystko jest wyjaśnione prostym językiem. Co oznacza RODO dla nagrań spotkań. Jakie są zagrożenia związane z ignorowaniem tych przepisów. Które programy do obsługi spotkań naprawdę wspierają zgodność z przepisami, a które nie spełniają wymagań. Bez żargonu, bez prawniczego bełkotu. Tylko praktyczne informacje, które sam chciałbym mieć, zanim wpadłem w panikę na początku obowiązywania RODO.

Spis treści

Lista kontrolna dotycząca RODO przy wyborze asystenta ds. spotkań

RODO w skrócie

Wykorzystaj tę listę jako szybką kontrolkę podczas poszukiwania asystenta spotkań lub osoby sporządzającej notatki opartej na sztucznej inteligencji.

  • Uczestnicy wiedzą, że są nagrywani
    Uczestnicy są informowani, że spotkanie jest nagrywane lub transkrybowane, i rozumieją cel tego działania.
  • Istnieje zgodny z prawem powód do rejestrowania
    Firma ma ważną podstawę prawną, taką jak zgoda lub wyraźna potrzeba biznesowa, która została udokumentowana.
  • Przechowywane są tylko minimalne dane
    Nagrania i transkrypcje są ograniczone do tego, co jest faktycznie potrzebne, zamiast przechowywać wszystko domyślnie.
  • Dane są przechowywane w odpowiednich regionach
    Dane osobowe osób z UE lub Wielkiej Brytanii są przechowywane w lokalizacjach i u dostawców spełniających standardy RODO.
  • Użytkownicy mogą uzyskać dostęp do swoich danych lub je usunąć pod adresem
    . Istnieje jasny proces realizacji wniosków o dostęp, poprawę i usunięcie treści spotkań.
  • Dostawcy wyjaśniają, w jaki sposób sztuczna inteligencja wykorzystuje dane
    Narzędzie informuje, czy do szkolenia sztucznej inteligencji wykorzystywane są nagrania lub transkrypcje, i umożliwia klientom kontrolowanie tego procesu.

Niniejsza lista kontrolna ma charakter wyłącznie informacyjny i nie zastępuje porady prawnej.

tl;dr: RODO i asystenci spotkań

  • Nagrania spotkań są danymi osobowymi, więc potrzebujesz narzędzia, które jasno określa zasady przechowywania, zatrzymywania, podwykonawców, zachowania sztucznej inteligencji i przetwarzania regionalnego.
  • Zgodnie z informacjami publikowanymi przez dostawców, tl;dv, Sembly i Jamie oferują najbardziej przejrzystą dokumentację dotyczącą RODO. Inne narzędzia również mogą być odpowiednie, ale zazwyczaj wymagają dodatkowej weryfikacji u dostawcy.
  • Wiele innych narzędzi zawiera ogólne zapewnienia, ale pozostawia luki dotyczące regionów hostingu, szkolenia modeli i przepływu danych, co oznacza więcej pracy dla organizacji działających przede wszystkim w UE.
  • Najbezpieczniejszym wyborem jest asystent spotkań, który zapewnia pełną kontrolę nad przechowywaniem, usuwaniem, lokalizacją danych i przetwarzaniem AI oraz publikuje odpowiednią umowę o przetwarzaniu danych (DPA).

Czym jest RODO i dlaczego ma znaczenie dla asystentów ds. spotkań?

RODO to unijne i brytyjskie prawo dotyczące ochrony danych, którego głównym celem jest ochrona prawdziwych osób, nawet jeśli biorą one udział w czymś, co wydaje się czysto zawodowe. Środowisko biznesowe nie pozbawia nikogo praw do własnych informacji. Jeśli asystent spotkania nagrywa rozmowę, w której pojawia się głos danej osoby, jej imię i nazwisko, stanowisko lub cokolwiek, co pozwala ją zidentyfikować, wówczas zastosowanie ma RODO.

Asystenci spotkań zajmują nietypową pozycję. Obsługują dane biznesowe, ale przetwarzają je poprzez identyfikowalne osoby. Aktualizacja projektu, rozmowa z klientem lub rozmowa handlowa mogą wydawać się bezosobowe, ale informacje te nadal należą do rzeczywistych pracowników, kontrahentów lub klientów. Dlatego właśnie regulacje mają tutaj znaczenie. Narzędzia te rejestrują szczegóły decyzji, dyskusji, pomysłów i reakcji w sposób, który nagle uwidacznia osobę stojącą za stanowiskiem.

Kiedy spojrzy się na to z tej perspektywy, RODO staje się znacznie bardziej istotne dla codziennej pracy, niż wiele zespołów się spodziewa.

Co uznaje się za dane osobowe w nagraniu z spotkania biznesowego?

Dane osobowe w kontekście biznesowym mają szerszy zakres niż się powszechnie uważa. Obejmują one wszystko, co może bezpośrednio identyfikować daną osobę lub odnosić się do niej, nawet jeśli informacje te dotyczą raczej jej pracy niż życia prywatnego.

Może to obejmować głos osoby rozmawiającej podczas rozmowy telefonicznej. Może to być jej imię i nazwisko lub stanowisko, które podaje podczas przedstawiania się. Może to być adres e-mail wyświetlany na ekranie lub komentarz dotyczący jej obciążenia pracą, wyników, obecności lub dostępności. Może to być dane finansowe związane z konkretnym menedżerem klienta. Może to nawet obejmować notatki sporządzone przez sztuczną inteligencję, jeśli notatki te podsumowują lub odnoszą się do możliwej do zidentyfikowania osoby.

Nagranie z spotkania często zawiera wszystkie te informacje w ciągu kilku minut, czasami nawet bez wiedzy uczestników. Wiele firm wpada w pułapkę, gdy dochodzi do nakładania się „informacji biznesowych” i „danych osobowych w kontekście biznesowym”.

Zasady RODO w prostym języku dla zapracowanych zespołów

RODO może wydawać się skomplikowane, ale podstawowe zasady są proste. Należy otwarcie informować osoby, których dane są rejestrowane, o tym, co jest rejestrowane i dlaczego. Należy gromadzić tylko te dane, które są potrzebne, i unikać przechowywania nagrań długo po tym, jak spełniły one swój cel. Należy przechowywać wszystko w bezpieczny sposób i unikać systemów, które rozpraszają dane w nieznanych regionach. Należy zapewnić osobom możliwość przeglądania lub usuwania swoich danych w odpowiednim momencie. Do rejestrowania danych potrzebny jest również ważny powód, co w przypadku spotkań biznesowych oznacza zazwyczaj wyraźną zgodę osób uczestniczących w spotkaniu.

Zasady te mają zastosowanie zarówno do poniedziałkowej porannej synchronizacji, jak i do prezentacji dla klienta. Zmienia się otoczenie, ale prawa pozostają niezmienne.

 

Dlaczego RODO ma zastosowanie nawet jeśli Twoja firma ma siedzibę w Stanach Zjednoczonych lub innym kraju?

Wiele osób spoza Europy zakłada, że RODO ma zastosowanie tylko wtedy, gdy ich firma ma siedzibę w Wielkiej Brytanii lub UE. W rzeczywistości prawo to obejmuje również każdą organizację, która przetwarza dane osobowe osób z tych regionów, jeśli przetwarzanie to jest związane ze świadczeniem usług na ich rzecz.

Jeśli Twoja firma współpracuje z klientami z Europy lub jeśli członkowie Twojego zespołu w Europie uczestniczą w nagrywanych spotkaniach, to RODO staje się częścią Twoich obowiązków, nawet jeśli siedziba Twojej firmy znajduje się gdzie indziej.

Może to zaskoczyć niektórych, ponieważ asystenci spotkań siedzą cicho w tle, nagrywając rozmowy i przechowując informacje, które wydają się być zwykłymi rozmowami biznesowymi. Nagrania te mogą zawierać nazwiska, stanowiska, opinie, dane klientów, rozmowy dotyczące finansów i wszystkie informacje, które pozwalają zidentyfikować daną osobę w świecie zawodowym. Gdy tylko uczestnik z Europy dołącza do rozmowy, jego informacje stają się danymi osobowymi zgodnie z prawem europejskim, co oznacza, że potrzebne jest narzędzie, które odpowiednio je przetwarza.

Sytuacja staje się bardziej złożona, gdy asystent spotkań przechowuje nagrania poza Europą. W momencie, gdy dane osobowe opuszczają terytorium Wielkiej Brytanii lub UE, firma zajmująca się ich przetwarzaniem musi stosować zatwierdzone zabezpieczenia i zapewnić jasne informacje na temat tego, gdzie dane są przechowywane, jak długo tam pozostają i kto może mieć do nich dostęp. Obejmuje to również jawność informacji na temat tego, czy dane ze spotkań są wykorzystywane do opracowywania funkcji sztucznej inteligencji, ponieważ ludzie mają prawo wiedzieć, w jaki sposób wykorzystywane są ich dane.

Nie oznacza to, że nie można korzystać z usług asystenta spoza Europy. Oznacza to po prostu, że należy poświęcić więcej czasu na przeprowadzenie należytej staranności. Przed podjęciem decyzji, czy firma spełnia wymogi RODO, należy zapoznać się z lokalizacjami przechowywania danych, zasadami przechowywania i praktykami szkoleniowymi.

Przepisy dotyczące prywatności w innych krajach również odzwierciedlają tę tendencję. Brazylia ma LGPD, Japonia ma APPI, a Kalifornia ma własne surowe przepisy (CCPA), w tym bardziej rygorystyczne wymagania dotyczące zgody na nagrywanie. RODO pozostaje podstawą dla wielu globalnych przedsiębiorstw, ale ogólny temat jest taki sam. Jeśli przetwarzasz dane prawdziwych osób z różnych krajów, potrzebujesz asystenta spotkań, który traktuje te informacje w sposób odpowiedzialny.

Europejscy asystenci spotkań często ułatwiają to zadanie, ponieważ lokalizacja danych, monity o zgodę i opcje przechowywania są już dostosowane do przepisów. Nie oznacza to, że są oni jedyną opcją, ale zapewnia im to stabilniejszą pozycję dla wszystkich osób współpracujących z klientami europejskimi.

Praca nad dostosowaniem do RODO
Przykład „RODO”, który nie jest jeszcze w pełni zgodny z przepisami

Zgodność z RODO a „praca nad osiągnięciem zgodności”

Większość asystentów spotkań dzieli się na dwie grupy. Są firmy, które faktycznie wspierają RODO, oraz firmy, które mówią o nim w sposób optymistyczny, nie potwierdzając jednak niczego konkretnego. Różnica ta ma znaczenie, ponieważ RODO nie jest etykietą, którą można uzyskać poprzez działania marketingowe. Jest to ramy prawne zawierające konkretne wymagania, które muszą być wbudowane w produkt, a nie dodane później.

Asystent spotkań, który naprawdę wspiera zgodność z przepisami, w prosty sposób pokaże Ci, w jaki sposób przetwarza Twoje dane. Firma, która wciąż „pracuje nad zgodnością z przepisami”, będzie starała się brzmieć pomocnie, nie podając jednak szczegółów niezbędnych do podjęcia odpowiedzialnej decyzji. Gdy już wiesz, na co zwrócić uwagę, różnica staje się oczywista.

Jak rozpoznać rzeczywistą zgodność z RODO w asystencie spotkań

Jeśli firma poważnie traktuje RODO, widać to po sposobie, w jaki przedstawia informacje. Wyjaśnia, gdzie przechowywane są dane użytkownika i jak długo pozostają tam zapisane. Daje użytkownikowi kontrolę nad przechowywaniem, usuwaniem i dostępem do danych. Podaje nazwy swoich podwykonawców. Informuje, czy wykorzystuje nagrania spotkań do szkolenia funkcji sztucznej inteligencji. Opisuje swoje środki bezpieczeństwa w sposób wystarczająco szczegółowy, aby sprawiały wrażenie uzasadnionych, a nie tylko dekoracyjnych.

Zapewniają również odpowiednią umowę o przetwarzaniu danych. Powinna być łatwa do znalezienia, a nie ukryta za rozmową handlową. Umowa powinna określać obowiązki obu stron, odzwierciedlać rzeczywiste funkcjonowanie usługi i być zrozumiała dla osób niebędących specjalistami, które starają się wywiązać ze swoich zobowiązań.

Firmy, które naprawdę dbają o zgodność z RODO, zazwyczaj projektują swoje narzędzia tak, aby zgodność była domyślnym ustawieniem, a nie czymś, co trzeba obejść. Nie trzeba ich zmuszać do przejrzystości, ponieważ już rozumieją, dlaczego jest ona ważna.

Sygnały ostrzegawcze w politykach prywatności i na stronach dotyczących bezpieczeństwa

Czerwone flagi pojawiają się zazwyczaj wtedy, gdy firma chce uzyskać wiarygodność w zakresie RODO bez konieczności podejmowania działań niezbędnych do jej zapewnienia. Pierwszym sygnałem jest niejasne sformułowanie dotyczące lokalizacji przechowywania danych. Jeśli firma informuje, że „Twoje dane mogą być przechowywane w kilku bezpiecznych regionach”, nie podając jednak, które to są regiony, pozostaje Ci jedynie zgadywać, gdzie faktycznie znajdują się nagrania z Twoich spotkań.

Kolejnym sygnałem ostrzegawczym jest sytuacja, w której firma nie informuje jasno, czy wykorzystuje dane klientów do rozwoju funkcji sztucznej inteligencji. Niektóre firmy ukrywają tę informację pod ogólnikowym sformułowaniem „ulepszanie usług”, co nie jest tym samym, co poinformowanie użytkownika, że nagrane rozmowy mogą być wykorzystywane w wewnętrznych procesach szkoleniowych.

Powinieneś również zatrzymać się, jeśli firma dużo mówi o ogólnym bezpieczeństwie, ale unika konkretów. Frazy dotyczące „najlepszych praktyk” i „standardów branżowych” nie informują Cię, czy usługa zapewnia kontrolę nad przechowywaniem danych lub respektuje Twoje żądania dotyczące ich usunięcia.

Największym sygnałem ostrzegawczym jest niejasność. Jeśli po przeczytaniu polityki firmy nie jesteś w stanie zrozumieć, w jaki sposób firma przetwarza dane dotyczące spotkań, prawdopodobnie istnieje ku temu powód.

Dlaczego niejasne stwierdzenia typu „Nasi klienci twierdzą, że przestrzegamy przepisów RODO” nie są wystarczające?

Niektórzy asystenci ds. spotkań próbują uspokajać ludzi, mówiąc, że ich klienci uważają ich za zgodnych z RODO. Brzmi to pocieszająco, dopóki nie zdasz sobie sprawy, że nic to nie potwierdza. RODO nie opiera się na opinii klientów. Opiera się na jasnych obowiązkach i odpowiedzialności, które można wykazać za pomocą dokumentacji, decyzji technicznych i odpowiedzialnych procesów.

Firma nie może zlecać na zewnątrz spraw związanych z przestrzeganiem przepisów, kierując się tylko tym, co myślą klienci. Nie może też sugerować, że przestrzeganie przepisów to kwestia popularności. Jeśli jedynym dowodem jest to, że „wielu klientów korzysta z naszego produktu w Europie”, to nie wiadomo, czy firma spełnia wymogi przepisów.

Potrzebujesz pewności, a nie dobrych wrażeń. Musisz wiedzieć, gdzie trafiają Twoje nagrania, kto ma do nich dostęp, jak długo są przechowywane i czy ktoś wykorzystuje je do szkolenia modeli. Są to pytania oparte na faktach, na które można udzielić opartych na faktach odpowiedzi. Jeśli firma nie jest w stanie udzielić Ci tych odpowiedzi, nie możesz polegać na zapewnieniach klienta.

Co się stanie, jeśli zignorujesz RODO?

Większość firm ma dobre intencje. Nagrywają spotkania, aby zaoszczędzić czas i ograniczyć nieporozumienia. Problem polega na tym, że RODO nie skupia się na intencjach. Skupia się na tym, co faktycznie dzieje się z danymi osobowymi po ich zebraniu. Gdy firma zaniedbuje przepisy RODO, nawet przypadkowo, konsekwencje mogą być poważne i ujawnić się długo po zakończeniu spotkania.

Ryzyko nie dotyczy wyłącznie wysokich kar, choć są one realne i wpłynęły na podejście organów regulacyjnych do danych dotyczących miejsca pracy. Głębszym problemem jest to, że nagrania z posiedzeń zawierają znacznie więcej danych osobowych, niż się powszechnie uważa. Jedna nieostrożna decyzja dotycząca przechowywania danych może doprowadzić do naruszenia przepisów. Jedno niejasne podejście do kwestii zgody może stać się podstawą do złożenia skargi. Jedno przeoczenie w zakresie przechowywania danych może spowodować, że nagrania z wielu lat pozostaną na serwerze.

Przykłady pokazujące, jak poważne mogą być organy regulacyjne

Wspomniałem już wcześniej o tych przypadkach, ale warto się im bliżej przyjrzeć, ponieważ pokazują one dokładnie, jak organy regulacyjne postrzegają sytuacje, w których firmy gromadzą lub przechowują informacje o osobach bez wyraźnego powodu.

H&M otrzymało grzywnę w wysokości 35,3 mln euro od organu ds. ochrony danych w Hamburgu po tym, jak kierownictwo stworzyło szczegółowe akta dotyczące pracowników. Akta te zawierały prywatne informacje dotyczące spraw rodzinnych, kwestii zdrowotnych oraz osobistych obserwacji, które były gromadzone w tajemnicy przez długi czas. Informacje te były następnie wykorzystywane przy podejmowaniu decyzji dotyczących zatrudnienia. Organ regulacyjny uznał to za ingerencję w prywatność, która znacznie wykraczała poza to, czego pracownicy mogliby się spodziewać.

Emma’s Diary, prowadzona przez Lifecycle Marketing, została ukarana grzywną w wysokości 140 000 funtów przez ICO. Firma gromadziła dane od młodych matek, które sądziły, że rejestrują się w celu uzyskania porad dotyczących ciąży i opieki nad dzieckiem. Informacje te zostały następnie przekazane organizacji politycznej podczas wyborów bez żadnego wyjaśnienia w polityce prywatności. Rodzice nie mieli powodu, aby sądzić, że ich dane trafią do tego kontekstu.

Chociaż przypadki te wykraczają poza świat asystentów spotkań, schemat jest taki sam. Organy regulacyjne podejmują działania, gdy firmy gromadzą lub wykorzystują dane osobowe w sposób, na który osoby te nie wyraziły zgody i którego nie mogły racjonalnie przewidzieć. Nagrania spotkań często zawierają te same kategorie informacji, czego nikt nie zauważa w danym momencie. Komentarz dotyczący zdrowia, odniesienie do wyników, szczegóły dotyczące klienta powiązane z możliwą do zidentyfikowania osobą lub poufna informacja przekazana mimochodem podczas rozmowy telefonicznej. Wszystko to staje się danymi osobowymi po ich zarejestrowaniu.

Jeśli nagrania te pozostają w systemie dłużej niż to konieczne lub są przenoszone do regionów, o których ludzie nie zostali poinformowani, sytuacja zaczyna przypominać scenariusze, za które organy regulacyjne już nałożyły kary. Technologia jest inna, ale podstawowa obawa jest identyczna. Chodzi o przetwarzanie danych osobowych bez jasności i celu.

Nie było jeszcze żadnej publicznej sprawy dotyczącej RODO, która skupiałaby się na asystentach AI. Nie oznacza to, że firmy, które ich używają, są zwolnione z obowiązku przestrzegania przepisów. Oznacza to po prostu, że kwestia ta nie stała się przedmiotem głośnego dochodzenia regulacyjnego. Historia innych kar pokazuje dokładnie, jak takie sytuacje mogą być postrzegane, gdy w końcu do tego dojdzie.

3 najlepsi asystenci spotkań zgodni z RODO

Chciałem stworzyć zgrabną listę pięciu pozycji. Naprawdę chciałem!!! Spędziłem zbyt dużo czasu przeglądając strony dotyczące prywatności i dokumenty dotyczące bezpieczeństwa, tylko po to, aby odkryć, że większość asystentów spotkań albo w dużym stopniu polega na amerykańskich centrach danych, albo przedstawia niejasne twierdzenia, które tracą sens, gdy tylko przeczyta się drobny druk. Ostatecznie tylko trzy narzędzia oferowały jasne, uzasadnione i publiczne zobowiązania dotyczące RODO, które wydawały się wystarczająco mocne, aby je udostępnić.

Te trzy firmy oferują przejrzysty hosting, praktyczne mechanizmy kontroli przechowywania danych, odpowiednią dokumentację oraz politykę prywatności zgodną z wymogami europejskich przedsiębiorstw.

1) tl;dv

Zbudowany w Europie w oparciu o RODO jako podstawę

tl;dv

Pracuję z tl;dv, więc wiem dokładnie, jak produkt obsługuje dane spotkań za kulisami. Został zaprojektowany z dużą starannością, co widać w sposobie, w jaki podchodzi do RODO, bezpieczeństwa i przejrzystości. Platforma ma siedzibę w Europie, hosting znajduje się w Europie, a cały system jest skonfigurowany tak, aby klienci, zwłaszcza ci, którzy przetwarzają dane osobowe z Wielkiej Brytanii lub UE, mieli jasne zrozumienie tego, co dzieje się z ich nagraniami.

tl;dv podejście oparte na prywatności, zamiast próbować dostosować strukturę, która nigdy nie została do tego stworzona, do wymogów RODO. Dane są szyfrowane zarówno podczas przechowywania, jak i przesyłania. Nagrania i transkrypcje pozostają w europejskich centrach danych. Zespół prowadzi wewnętrzny rejestr działań związanych z przetwarzaniem danych, dzięki czemu może dokładnie pokazać, w jaki sposób dane osobowe przepływają przez system. Wydaje się to drobną sprawą, ale stanowi podstawę zaufania. Dzięki temu klienci mogą w razie potrzeby wyjaśnić i uzasadnić swoje wybory.

Masz pełną kontrolę nad danymi dotyczącymi spotkań.

Jednym z powodów, dla których ufam tl;dv poziom wyboru, jaki daje klientom. Możesz ustawić, jak długo będą przechowywane Twoje nagrania. Możesz usunąć wszystko w dowolnym momencie. Możesz pobrać wszystko. Możesz zdecydować, gdzie będzie hostowana Twoja sztuczna inteligencja. Jeśli Twoja firma wymaga, aby przetwarzanie sztucznej inteligencji pozostało w Europie, możesz zablokować ją w Europie. Jeśli Twoja organizacja obejmuje kilka kontynentów i preferuje hosting w Stanach Zjednoczonych, możesz podjąć taką decyzję. Chodzi o to, że decyzja należy do Ciebie.

tl;dv dostarcza klientom jasnych informacji na temat wykorzystania sztucznej inteligencji stron trzecich. Kiedy platforma korzysta z Anthropic generowania sztucznej inteligencji, robi to z zachowaniem środków bezpieczeństwa. Metadane są anonimizowane. Segmenty są dzielone i mieszane, dzięki czemu żaden model nie widzi pełnej rozmowy. Anthropic niczego na podstawie danych użytkownika. Taki poziom przejrzystości jest nadal rzadkością w dziedzinie sztucznej inteligencji i ma znaczenie dla RODO, ponieważ odnosi się bezpośrednio do sprawiedliwości, ograniczenia celu i minimalizacji danych.

Kontrola bezpieczeństwa jest prawdziwa, a nie tylko dekoracyjna.

tl;dv raport SOC 2 typu 1, a firma stosuje ustrukturyzowany proces rozwoju obejmujący przeglądy kodu, testowanie, oddzielne środowiska i regularne skanowanie systemów produkcyjnych. Ruch jest szyfrowany. Pamięć masowa wykorzystuje silne szyfrowanie AES-256. Infrastruktura opiera się na dostawcach, którzy posiadają certyfikaty zgodności z normami ISO 27001 i SOC, a wewnętrzny zespół monitoruje zachowanie każdej części systemu w czasie.

Ponownie, nie chodzi tu o zdobywanie odznak dla pozoru. Chodzi o to, aby w przypadku pytania klienta „Gdzie są moje dane, kto ma do nich dostęp i jak długo są przechowywane?”, można było udzielić odpowiedzi, która wytrzyma krytyczną ocenę.

Więcej niż asystent spotkania

Często pomijanym aspektem jest to, jak głęboko tl;dv w szerszą strukturę organizacji. Ludzie używają go do nagrywania spotkań, ale także do wdrażania nowych pracowników, szkoleń wewnętrznych, gromadzenia wiedzy, coachingu, przeglądów sprzedaży, badań produktów i wszystkich innych codziennych zadań, które wykraczają poza standardowe rozmowy telefoniczne. Po wdrożeniu narzędzie to staje się cichą warstwą dokumentacji dla całej firmy. To sprawia, że kwestia prywatności staje się jeszcze ważniejsza, ponieważ zawartość nie ogranicza się tylko do rozmów podczas spotkań. Jest to pamięć operacyjna organizacji.

Dlatego właśnie RODO nie jest tutaj tylko przypisem. Jest to jeden z głównych powodów, dla których produkt został stworzony w taki sposób.

tl;dv Przegląd RODO

  • Mocna strona: Silna polityka prywatności oparta na publicznie dostępnej dokumentacji.
  • Hosting: Dane przechowywane w Europie
  • Szkolenie: Dostawca oświadcza, że dane klientów nie są wykorzystywane do szkolenia sztucznej inteligencji.
  • Obsługa AI: metadane są anonimizowane, a segmenty spotkań przetwarzane są w małych, losowych częściach.
  • Elementy sterujące: obejmuje tryb zgody, niestandardowe ustawienia przechowywania danych oraz całkowite usuwanie danych.
  • Podsumowanie: Na podstawie opublikowanych informacji tl;dv architekturę skoncentrowaną na UE, która po odpowiedniej konfiguracji wspiera zgodność z RODO.

2) Zgromadzenie

Struktura typu korporacyjnego z obszerną dokumentacją i silnymi mechanizmami kontroli

Centrum zaufania Sembly
Źródło: Centrum zaufania Sembly

Sembly stosuje bardzo formalne podejście do ochrony danych. Posiada pełne Centrum zaufania z audytami SOC 2 typu 2, diagramami przepływu danych, raportami z testów penetracyjnych i szczegółowymi zasadami bezpieczeństwa. Opisuje również RODO jako coś, co od początku traktowało priorytetowo, i dokumentuje sposób przetwarzania danych osobowych w sposób znany wszystkim osobom współpracującym z zespołami ds. zgodności.

Jedną z cech, która wyróżnia tę firmę, jest sposób postępowania z modelami szkoleniowymi. Klienci korporacyjni mają jasną gwarancję, że ich pliki audio, wideo lub tekstowe nie będą wykorzystywane do celów szkoleniowych. Inne plany mogą zrezygnować z tej opcji. Zmniejsza to ryzyko wykorzystania danych osobowych do celów, których nie zamierzałeś. Firma publikuje również listę podwykonawców przetwarzających dane, co jest pomocne przy ocenie wpływu na ochronę danych.

Próbowałem uzyskać dostęp do bardziej szczegółowej dokumentacji dotyczącej RODO za pośrednictwem Centrum zaufania, ale w momencie pisania tego artykułu nie otrzymałem odpowiedzi. Mimo to, na podstawie informacji opublikowanych publicznie, Sembly oferuje strukturę odpowiednią dla większych organizacji, o ile odpowiednio zarządzasz zgodami i obowiązkami związanymi z konkretnymi spotkaniami.

Sembly — przegląd RODO

  • Mocna strona: dokumentacja zgodności i audyty na poziomie przedsiębiorstwa
  • Hosting: Materiały publiczne opisują bezpieczną infrastrukturę chmury; pełne szczegóły dotyczące lokalizacji wymagają bezpośredniego potwierdzenia przez dostawcę.
  • Szkolenie: Plany dla przedsiębiorstw nie obejmują szkolenia modelowego; inne plany mogą zrezygnować z tej opcji.
  • Obsługa AI: szyfrowanie danych w spoczynku i podczas przesyłania, opublikowani podwykonawcy przetwarzający dane
  • Kontrole: SOC 2 typu II, materiały Centrum zaufania, dostępna umowa o przetwarzaniu danych (DPA)
  • Podsumowanie: Publiczna dokumentacja wskazuje na solidne ramy zgodności. Pełna ocena zależy od dostępu do dodatkowych materiałów dostarczonych przez dostawcę.

3) Jamie

Unia Europejska jest gospodarzem i bardzo dba o prywatność, ale jest zależna od przejrzystości użytkowników.

Odznaki zaufania Jamie
Źródło: Jamie Trust Badges

Jamie jest często polecany jako rozwiązanie zapewniające prywatność, ponieważ ma siedzibę w Niemczech, przetwarza dane na terenie Niemiec i usuwa surowe pliki audio po utworzeniu transkrypcji. Firma jasno stwierdza, że Anthropic przechowuje danych klientów ani Anthropic wykorzystuje ich do celów szkoleniowych, a także powołuje zewnętrznego inspektora ochrony danych, który co roku przeprowadza audyt zgodności z przepisami. Podstawa techniczna jest solidna i wydaje się zgodna z zasadami RODO.

Należy zrozumieć, jak Jamie działa w praktyce. Działa on cicho na urządzeniu użytkownika, zamiast dołączać do spotkania jako widoczny uczestnik. Takie podejście eliminuje niezręczność związaną z dołączeniem bota do rozmowy, ale oznacza również, że odpowiedzialność za przejrzystość spoczywa wyłącznie na osobie rozpoczynającej nagrywanie. Rozporządzenie RODO zakłada, że osoby powinny wiedzieć, kiedy ich głosy są przetwarzane. Bez wyraźnego powiadomienia lub zgody podstawa prawna staje się niepewna.

Jeśli zespoły korzystają z Jamie w sposób odpowiedzialny i informują o tym z wyprzedzeniem, rozwiązanie to doskonale wpisuje się w wymogi RODO. Jeśli tego nie robią, ryzyko wynika raczej z braku komunikacji niż z samej technologii.

Jamie — Przegląd RODO

  • Mocna strona: przetwarzanie w UE z szybkim usuwaniem dźwięku i architekturą skoncentrowaną na prywatności
  • Hosting: Dostawca oświadcza, że przetwarzanie i przechowywanie danych odbywa się we Frankfurcie nad Menem w Niemczech.
  • Szkolenie: Dostawca twierdzi, że pliki audio są usuwane po transkrypcji i nie są wykorzystywane do szkolenia modelu.
  • Obsługa sztucznej inteligencji: końcowe podsumowania przetwarzane za pośrednictwem Anthropic bez przechowywania danych.
  • Kontrole: zewnętrzny inspektor ochrony danych, coroczne audyty dotyczące RODO, szczegółowa dokumentacja dotycząca prywatności
  • Podsumowanie: Jamie wspiera zgodność z RODO na poziomie technicznym; zgodność z przepisami zależy od użytkowników, którzy muszą odpowiednio informować o tym fakcie, ponieważ narzędzie nie jest widoczne podczas spotkań.

Czy WSZYSTKIE narzędzia do zgłaszania skarg są zgodne z RODO?

Niektóre narzędzia zawierają obszerną dokumentację, podczas gdy inne używają bardziej ogólnego języka, co pozostawia klientom więcej do zweryfikowania.

Poniższe przykłady pokazują, w jaki sposób niektóre znane narzędzia prezentują się na swoich stronach internetowych, a także co może oznaczać takie pozycjonowanie, jeśli Twoja organizacja potrzebuje bardziej rygorystycznej konfiguracji, w której priorytetem jest UE. Nie jest to ocena ich jakości ani legalności. Odzwierciedla to po prostu różnicę między podejściem opartym na wysokiej przejrzystości a podejściem wymagającym bardziej bezpośredniego potwierdzenia od dostawcy przed wdrożeniem.

MeetGeek

MeetGeek wymienia wśród swoich standardów RODO, SOC 2 i HIPAA, co sugeruje szeroki zakres działania. Publicznie dostępne informacje nie zawierają tak szczegółowych danych na temat regionów hostingu, podwykonawców przetwarzania danych ani struktury przechowywania danych, jak w przypadku narzędzi omówionych wcześniej. Dla wielu zespołów może to być wystarczające, ale każdy, kto potrzebuje potwierdzenia, że dane są przechowywane wyłącznie w UE, lub szczegółowej dokumentacji, może być zmuszony do zwrócenia się bezpośrednio o bardziej szczegółowe informacje.

Leexi

Leexi podkreśla znaczenie RODO, certyfikatu ISO i bezpiecznego przetwarzania danych. Jednak materiały publiczne tej firmy zawierają ograniczone informacje techniczne na temat lokalizacji magazynów danych, podwykonawców przetwarzających dane oraz sposobu szkolenia modeli. Organizacje, które wymagają pełnej widoczności przepływu danych, powinny poprosić o te informacje przed powierzeniem platformie przetwarzania danych wrażliwych.

Fireflies

Fireflies odwołuje się do RODO i SOC 2 typu II, a platforma jest szeroko stosowana. Ich infrastruktura wydaje się opierać na regionach poza Europą, a niektóre funkcje wymagają konfiguracji przez klientów kontroli szkolenia modeli. Nie uniemożliwia to zgodnego z RODO korzystania z platformy, ale oznacza, że klienci muszą wykonać więcej pracy związanej z konfiguracją, jeśli potrzebują ścisłej obsługi regionalnej.

Read.ai

Read.ai pozycjonuje się jako gotowy do wdrożenia RODO i kładzie nacisk na zaufanie i dokładność. Usługa przetwarza dane w Stanach Zjednoczonych, co jest zgodne z prawem, o ile zapewnione są odpowiednie zabezpieczenia. Oznacza to po prostu, że zespoły, które potrzebują działania wyłącznie na terenie UE, muszą dokładnie ocenić warunki transferu danych i praktyki dotyczące zgody.

Gong

Gong oferuje wysokie bezpieczeństwo handlowe i przejrzystą dokumentację oraz wspiera RODO poprzez standardowe zabezpieczenia umowne. Ich podejście do hostingu opiera się głównie na Stanach Zjednoczonych, co jest powszechne w przypadku SaaS dla przedsiębiorstw. Organizacje, które wymagają danych dotyczących mieszkańców UE, muszą potwierdzić tę konfigurację bezpośrednio przed powierzeniem jej europejskich danych osobowych.

Narzędzia te mogą być odpowiednie dla wielu zespołów. Jedyną różnicą jest to, że publikują one mniej szczegółowych informacji na temat miejsca zamieszkania, transferów, zachowań szkoleniowych lub retencji niż trzy narzędzia UE-first opisane wcześniej. Jeśli pracujesz w środowisku, które wymaga ścisłego przetwarzania regionalnego, przewidywalnej retencji i w pełni dostępnej dokumentacji, warto poprosić o te informacje bezpośrednio od dostawcy przed przyjęciem jakiegokolwiek narzędzia opisanego jako „zgodne z RODO”.

Jak wybrać asystenta ds. spotkań zgodnego z RODO dla swojego zespołu

Kiedy zrozumiesz, jak różnie firmy używają zwrotu „zgodność z RODO”, łatwiej będzie Ci wybrać asystenta spotkań, który faktycznie wspiera Cię w wykonywaniu Twoich obowiązków. Nie potrzebujesz do tego wiedzy prawniczej. Wystarczy, że będziesz wiedzieć, o co zapytać i jak powinien odpowiedzieć odpowiedzialny dostawca.

Dobrym punktem wyjścia są podstawy:

  • Gdzie przechowywane są Twoje nagrania i czy wszystko może pozostać w Europie
  • Jak długo narzędzie przechowuje dane i czy można ustawić własne zasady przechowywania danych
  • Czy treści spotkań są kiedykolwiek wykorzystywane do szkolenia modeli sztucznej inteligencji i czy można to wyłączyć?
  • Którzy podwykonawcy są zaangażowani i czy mają dostęp do danych osobowych
  • Czy można zapoznać się z umową o przetwarzaniu danych przed podjęciem zobowiązania?
  • Jak działa usuwanie, dostęp i eksport nagrań i transkrypcji
  • Czy można wybrać regionalny hosting AI lub ograniczyć całe przetwarzanie do Europy?
  • Każdy asystent spotkania, który oczekuje od Ciebie nagrywania rozmów, powinien być w stanie odpowiedzieć na te pytania w prosty i bezpośredni sposób.

Jeśli współpracujesz z inspektorem ochrony danych lub zespołem prawnym, będą oni oczekiwać przewidywalnych zabezpieczeń.

Będą szukać jasnych informacji dotyczących hostingu, szczegółów dotyczących szyfrowania, opublikowanej listy podwykonawców oraz prostego wyjaśnienia, w jaki sposób narzędzie obsługuje szkolenie modeli i przetwarzanie regionalne. Nie oczekują perfekcji, ale oczekują przejrzystości i praktycznych środków kontroli.

Możesz ułatwić sobie podjęcie decyzji, wybierając narzędzie, które od samego początku zostało stworzone w oparciu o te zasady. Stronatl;dvprywatności i bezpieczeństwu dokładnie wyjaśnia, w jaki sposób dane są przechowywane w Europie, jak działa przetwarzanie AI oraz w jaki sposób zachowujesz kontrolę nad przechowywaniem, usuwaniem i hostingiem danych.

Jeśli potrzebujesz asystenta do spotkań, który obsługuje RODO bez dodatkowej pracy i zgadywania, to jest to pomocne miejsce, od którego warto zacząć.

Najczęściej zadawane pytania dotyczące RODO i asystentów sztucznej inteligencji

Należy upewnić się, że wszyscy uczestnicy spotkania wiedzą, że rozmowa jest nagrywana lub transkrybowana. Zgoda jest najprostszą podstawą prawną i większość zespołów stosuje ją, aby uniknąć nieporozumień.

Tak. Głosy, nazwiska, stanowiska i wszystko, co zostało powiedziane podczas rozmowy, może posłużyć do identyfikacji osoby, co sprawia, że nagrania spotkań stanowią dane osobowe.

Tak, ale tylko wtedy, gdy transfer danych jest obsługiwany prawidłowo, a narzędzie zapewnia odpowiednie zabezpieczenia. Z tego powodu wiele zespołów preferuje narzędzia oparte na UE.

Poszukaj wyraźnych informacji dotyczących hostingu, opublikowanej listy podwykonawców oraz umowy o przetwarzaniu danych, która określa, gdzie przetwarzane są dane osobowe.

Może tak być. Rozporządzenie RODO wymaga jasnych informacji na temat sposobu wykorzystywania danych osobowych. Jeśli pracujesz z treściami wrażliwymi lub europejskimi klientami, potrzebujesz opcji wyłączenia funkcji uczenia się.

Należy odnotować podstawę prawną, sposób poinformowania uczestników, miejsce przechowywania danych oraz planowany okres przechowywania nagrań.

Tylko tak długo, jak są potrzebne do jasno określonego celu. Należy ustalić zasady przechowywania i usuwać nagrania, gdy nie są już potrzebne.

Hosting w UE, kontrola usuwania danych, ustawienia przechowywania, jasne zasady szkolenia sztucznej inteligencji oraz dostępna umowa o przetwarzaniu danych osobowych znacznie ułatwiają stosowanie przepisów zgodnych z RODO.

Tak, tl;dv zgodny z RODO. Oferuje użytkownikom opcje przechowywania danych w UE, publikuje przejrzystą umowę o przetwarzaniu danych, zapewnia szczegółowe kontrole przechowywania danych i umożliwia wyłączenie szkolenia sztucznej inteligencji w zakresie treści spotkań. Ujawnia również wszystkich podwykonawców przetwarzających dane i przestrzega rygorystycznych standardów bezpieczeństwa, dzięki czemu zespoły mogą nagrywać i przetwarzać spotkania w sposób zgodny z RODO.