Выбор помощника для проведения встреч, соответствующего требованиям GDPR — это одна из тех современных проблем, о которых никто и не мечтал.

Вы настраиваете простой видеозвонок, нажимаете кнопку записи и вдруг по колено погружаетесь в законы о данных, правила согласия и вопросы о том, где на самом деле хранится ваша встреча. Я сам пережил эту панику. Задолго до официального вступления в силу GDPR я уже имел дело с регистрацией в ICO в соответствии со старым Законом о защите данных, и к моменту вступления в силу нового регламента я так боялся ошибиться, что зарегистрировался в качестве контролера данных, просто чтобы быть в безопасности.

Кажется, что GDPR существует уже вечность, потому что первое предложение было выдвинуто еще в 2012 году. Закон был принят в 2016 году и вступил в силу в 2018 году, но годы до этого были хаосом. Почтовые ящики были завалены письмами с просьбой «остаться подписчиком». Компании удаляли целые списки рассылки, потому что боялись штрафов. Команды добавляли двойное подтверждение подписки ко всему, что двигалось, потому что были сбиты с толку и не хотели рисковать.

И да, штрафы были реальными. Компания H&M получила значительный штраф за ведение подробных, несоответствующих записей о персонале. Известный британский сайт для родителей был оштрафован за продажу данных матерей и детей политическим группам во время выборов. Я помню только этот случай, потому что до сих пор получаю от них рекламные письма, хотя мои дети уже подросли и освоили искусство закатывать глаза.

Это особенно важно в мире помощников для проведения встреч на базе искусственного интеллекта. Эти инструменты записывают голоса, фиксируют данные клиентов и хранят записи разговоров, которые часто содержат конфиденциальную или деликатную информацию. Все это является персональными данными в соответствии с GDPR. Записи. Стенограммы. Даже резюме, составленные искусственным интеллектом. Поэтому, если вы работаете в Великобритании или ЕС, или сотрудничаете с людьми, которые там работают, вам нужен помощник для проведения встреч, который действительно соответствует требованиям GDPR, а не тот, который тихо хранит ваши данные в США, давая расплывчатые обещания о безопасности.

В этом руководстве все объясняется простым языком. Что означает GDPR для записей совещаний. Каковы риски, если игнорировать его. Какие помощники для проведения совещаний действительно способствуют соблюдению требований, а какие не соответствуют им. Без жаргона, без юридических формулировок. Только практические знания, которые я хотел бы иметь, прежде чем впасть в панику в первые годы действия GDPR.

Оглавление

Ваш чек-лист GDPR для выбора помощника по проведению встреч

GDPR вкратце

Используйте это в качестве краткого контрольного списка, когда вы рассматриваете любого помощника для встреч или секретаря с искусственным интеллектом.

  • Люди знают, что их записывают
    Участникам сообщают, что встреча записывается или транскрибируется, и они понимают цель этого.
  • Существует законное основание для записи
    Компания имеет действительное правовое основание, такое как согласие или четкая деловая необходимость, которая была задокументирована.
  • Хранятся только минимальные данные
    Записи и стенограммы ограничиваются тем, что действительно необходимо, а не хранятся по умолчанию.
  • Данные хранятся в подходящих регионах
    Персональные данные граждан ЕС или Великобритании хранятся в местах и у поставщиков, которые соответствуют стандартам GDPR.
  • Люди могут получить доступ к своим данным или удалить их
    Существует четкий процесс удовлетворения запросов на доступ, исправление и удаление контента встреч.
  • Поставщики объясняют, как ИИ использует данные
    Инструмент указывает, используются ли записи или стенограммы для обучения ИИ, и позволяет клиентам контролировать этот процесс.

Данный контрольный список предназначен исключительно для общей информации и не заменяет юридическую консультацию.

tl;dr: GDPR и помощники по проведению встреч

  • Записи встреч считаются личными данными, поэтому вам нужен инструмент, который четко определяет условия хранения, сохранения, субпроцессоров, поведения ИИ и региональной обработки.
  • Судя по тому, что публикуют поставщики, tl;dv, Sembly и Jamie предлагают наиболее четкую документацию, соответствующую требованиям GDPR. Другие инструменты также могут быть подходящими, но обычно требуют дополнительной проверки со стороны поставщика.
  • Многие другие инструменты делают широкие заявления, но оставляют пробелы в отношении регионов хостинга, обучения моделей и потока данных, что означает дополнительную работу для организаций, ориентированных в первую очередь на ЕС.
  • Самым безопасным выбором является помощник для проведения встреч, который обеспечивает полный контроль над хранением, удалением, размещением данных и обработкой с помощью искусственного интеллекта, а также публикует надлежащее соглашение о обработке данных (DPA).

Что такое GDPR и почему это важно для помощников по проведению встреч?

GDPR — это закон ЕС и Великобритании о защите данных, который, по сути, призван защищать реальных людей, даже если эти люди участвуют в чем-то, что кажется чисто профессиональным. Деловая обстановка не лишает человека прав на свою собственную информацию. Если помощник по проведению встреч записывает разговор, в котором слышен голос человека, его имя, должность или что-либо, что может быть связано с ним, то применяется GDPR.

Ассистенты по проведению совещаний занимают необычное положение. Они работают с бизнес-данными, но обрабатывают их через конкретных людей. Обновление проекта, разговор с клиентом или коммерческий звонок могут казаться безличными, но информация все равно принадлежит реальным сотрудникам, подрядчикам или клиентам. Именно поэтому здесь важны правила. Эти инструменты фиксируют детали решений, обсуждений, идей и реакций таким образом, что вдруг становится виден человек, стоящий за должностью.

Если посмотреть на это с этой точки зрения, GDPR становится гораздо более актуальным для повседневной работы, чем ожидают многие команды.

Что считается личными данными в записи деловой встречи?

Персональные данные в контексте бизнеса имеют более широкое значение, чем принято считать. Они охватывают любую информацию, которая может идентифицировать или напрямую относиться к какому-либо лицу, даже если эта информация связана с его работой, а не с личной жизнью.

Это может быть голос человека, говорящего по телефону. Это может быть его имя или должность, когда он представляется. Это может быть адрес электронной почты, отображаемый на экране, или комментарий о его рабочей нагрузке, производительности, посещаемости или доступности. Это может быть финансовый показатель, связанный с конкретным менеджером по работе с клиентами. Это может даже включать заметки, созданные искусственным интеллектом, если эти заметки содержат резюме или ссылки на идентифицируемое лицо.

Запись встречи часто содержит все это в течение нескольких минут, иногда без того, чтобы кто-либо это заметил. Многие компании попадают в затруднительную ситуацию из-за пересечения «деловой информации» и «личной информации в деловой среде».

Принципы GDPR простым языком для занятых команд

GDPR может показаться сложным, но основные идеи просты. Вы должны открыто сообщать людям о том, что вы записываете и зачем. Вы должны собирать только то, что вам нужно, и не хранить записи дольше, чем это необходимо для достижения поставленной цели. Вы должны хранить все в безопасности и избегать систем, которые разбрасывают ваши данные по неизвестным регионам. Вы должны дать людям возможность просматривать или удалять свою информацию, когда это необходимо. Вам также нужна веская причина для записи, что в деловой встрече обычно означает четкое согласие всех участников.

Эти принципы применимы как к утренней нараду в понедельник, так и к презентации для клиента. Обстановка меняется, но права остаются прежними.

 

Почему GDPR применяется, даже если ваша компания находится в США или в другой стране

Многие люди за пределами Европы полагают, что GDPR применяется только в том случае, если их компания физически находится в Великобритании или ЕС. На самом деле, закон также распространяется на любую организацию, которая обрабатывает персональные данные людей в этих регионах, если такая обработка связана с предоставлением им услуг.

Если ваша компания работает с европейскими клиентами или если у вас есть сотрудники в Европе, участвующие в записываемых совещаниях, то GDPR становится частью ваших обязанностей, даже если ваша штаб-квартира находится в другом месте.

Это может застать людей врасплох, потому что помощники на встречах сидят тихо в фоновом режиме, записывая голоса и сохраняя то, что кажется обычным деловым разговором. Эти записи могут содержать имена, должности, мнения, данные о клиентах, финансовые обсуждения и все то, что позволяет идентифицировать человека в его профессиональном мире. Как только европейский участник присоединяется к звонку, его информация становится личными данными в соответствии с европейским законодательством, а это означает, что вам нужен инструмент, который будет обрабатывать ее надлежащим образом.

Ситуация усложняется, когда ваш помощник по проведению встреч хранит записи за пределами Европы. В момент, когда персональные данные покидают Великобританию или ЕС, компания, обрабатывающая их, должна опираться на утвержденные меры безопасности и предоставлять четкую информацию о том, куда поступают данные, как долго они там хранятся и кто может получить к ним доступ. Это также включает в себя открытость в отношении того, используются ли данные встреч для разработки функций искусственного интеллекта, поскольку люди имеют право знать, как используется их информация.

Это не означает, что вы не можете использовать помощника по проведению встреч, который не является европейцем. Это просто означает, что вам нужно уделить больше времени проведению должной проверки. Вам необходимо понять, где компания хранит данные, какие правила хранения и какие методы обучения она использует, прежде чем принимать решение о том, соответствует ли она вашим обязательствам по GDPR.

Законы о конфиденциальности в других странах также отражают эту тенденцию. В Бразилии действует закон LGPD, в Японии — APPI, а в Калифорнии — собственные строгие правила (CCPA), включая более жесткие требования к получению согласия на запись. GDPR по-прежнему остается основой для многих глобальных компаний, но общая тема остается той же. Если вы обрабатываете информацию о реальных людях за пределами своей страны, вам нужен помощник для проведения встреч, который будет ответственно относиться к этой информации.

Европейские помощники по проведению встреч часто облегчают эту задачу, поскольку их хранение данных, запросы на согласие и варианты хранения уже соответствуют требованиям регламента. Это не делает их единственным вариантом, но ставит их в более выгодное положение для тех, кто работает с европейскими клиентами.

Работа над GDPR
Пример «GDPR», который еще не полностью соответствует требованиям

Соответствие GDPR против «работы над обеспечением соответствия»

Большинство помощников по проведению встреч делятся на два лагеря. Есть компании, которые действительно поддерживают GDPR, и есть компании, которые говорят об этом с надеждой, не подтверждая ничего конкретного. Разница имеет значение, потому что GDPR — это не ярлык, который можно заявить в маркетинговых текстах. Это правовая основа с конкретными требованиями, которые должны быть встроены в продукт, а не добавлены позже.

Помощник для проведения встреч, который действительно поддерживает соблюдение нормативных требований, прозрачно покажет вам, как он обрабатывает ваши данные. Компания, которая все еще «работает над соблюдением нормативных требований», будет пытаться выглядеть полезной, не предоставляя вам подробную информацию, необходимую для принятия ответственного решения. Как только вы поймете, на что нужно обратить внимание, разница станет очевидной.

Как распознать реальное соответствие GDPR в помощнике для проведения совещаний

Когда компания серьезно относится к GDPR, это видно по тому, как она представляет свою информацию. Она объясняет, где хранятся ваши данные и как долго они там остаются. Она дает вам контроль над хранением, удалением и доступом. Она подробно описывает своих субпроцессоров. Она сообщает вам, использует ли она записи встреч для обучения функций искусственного интеллекта. Она описывает свои меры безопасности достаточно подробно, чтобы они выглядели обоснованными, а не декоративными.

Они также предоставляют надлежащее соглашение об обработке данных. Его должно быть легко найти, оно не должно быть скрыто за коммерческим звонком. Соглашение должно описывать обязанности обеих сторон, отражать реальное функционирование услуги и быть понятным для неспециалиста, который пытается выполнить свои обязательства.

Настоящие компании, ориентированные на GDPR, как правило, разрабатывают свои инструменты таким образом, что соблюдение требований является стандартом, а не чем-то, что нужно обходить. Вам не нужно заставлять их быть прозрачными, потому что они уже понимают, почему это важно.

Красные флажки в политиках конфиденциальности и на страницах безопасности

Красные флажки обычно появляются, когда компания хочет получить доверие GDPR без необходимости выполнять работу по его поддержке. Первый признак — это неясные формулировки о местах хранения. Если они говорят, что «ваши данные могут храниться в нескольких безопасных регионах», не сообщая, в каких именно, вы можете только догадываться, где на самом деле хранятся записи ваших встреч.

Еще одним тревожным сигналом является отсутствие четкого указания со стороны компании на то, использует ли она данные клиентов для разработки своих функций искусственного интеллекта. Некоторые скрывают это под общими формулировками о «совершенствовании сервиса», что не то же самое, что сказать вам, что ваши записанные встречи могут быть использованы во внутренних учебных процессах.

Вам также следует приостановиться, если компания много говорит об общей безопасности, но избегает конкретики. Фразы о «передовых практиках» и «отраслевых стандартах» не дают вам понять, предоставляет ли сервис вам средства контроля хранения данных или уважает ли ваши запросы на удаление.

Самый большой сигнал тревоги — это путаница. Если после прочтения политики компании вы не можете понять, как она обрабатывает данные о ваших встречах, вероятно, для этого есть причина.

Почему таких расплывчатых утверждений, как «Наши клиенты говорят, что мы соблюдаем GDPR», недостаточно

Некоторые помощники по проведению встреч пытаются успокоить людей, говоря, что их клиенты считают их соответствующими требованиям GDPR. Это звучит утешительно, пока не осознаешь, что это ничего не подтверждает. GDPR не основан на мнении клиентов. Он основан на четких обязательствах и ответственности, которые могут быть продемонстрированы с помощью документации, технических решений и подотчетных процессов.

Компания не может передать ответственность за соблюдение нормативных требований на усмотрение потребителей. Она также не может подразумевать, что соблюдение нормативных требований достигается за счет популярности. Если единственным доказательством является то, что «многие потребители используют наш продукт в Европе», это не говорит о том, что сама компания выполняет требования нормативных актов.

Вам нужна уверенность, а не ощущения. Вам нужно знать, куда попадают ваши записи, кто имеет к ним доступ, как долго они хранятся и использует ли кто-нибудь их для обучения моделей. Это фактические вопросы с фактическими ответами. Если компания не может дать вам эти ответы, вы не можете полагаться на удобство цитаты клиента.

Что произойдет, если вы проигнорируете GDPR?

Большинство компаний действуют из лучших побуждений. Они записывают встречи, чтобы сэкономить время и избежать недоразумений. Проблема в том, что GDPR не ориентируется на намерения. Он ориентируется на то, что на самом деле происходит с персональными данными после их сбора. Когда компания игнорирует GDPR, даже случайно, последствия могут быть серьезными и проявиться через долгое время после проведения встречи.

Риск заключается не только в крупных штрафах, хотя они реальны и определили подход регулирующих органов к данным на рабочем месте. Более серьезная проблема заключается в том, что записи встреч содержат гораздо больше личной информации, чем люди думают. Одно неосторожное решение о хранении может привести к нарушению. Один неясный подход к получению согласия может стать поводом для жалобы. Одно упущение при хранении может привести к тому, что записи за несколько лет останутся на сервере.

Примеры, демонстрирующие, насколько серьезными могут быть регулирующие органы

Я уже упоминал об этих случаях ранее, но стоит рассмотреть их более подробно, поскольку они точно показывают, как регулирующие органы относятся к ситуациям, когда компании собирают или хранят информацию о людях без явной причины.

Компания H&M получила штраф в размере 35,3 млн евро от органа по защите данных Гамбурга после того, как менеджеры создали подробные досье на сотрудников. Эти досье включали личные семейные дела, вопросы здоровья и личные наблюдения, которые собирались незаметно в течение длительного времени. Затем эта информация использовалась при принятии решений о кадровом составе. Регулирующий орган расценил это как вторжение в частную жизнь, которое выходило далеко за рамки того, чего могли ожидать сотрудники.

Компания Lifecycle Marketing, владеющая сайтом Emma’s Diary, была оштрафована ICO на 140 000 фунтов стерлингов. Компания собирала данные от молодых мам, которые полагали, что регистрируются для получения советов по беременности и уходу за ребенком. Позже эта информация была передана политической организации во время выборов без каких-либо объяснений в политике конфиденциальности. Родители не имели оснований полагать, что их данные будут использованы в таком контексте.

Хотя эти случаи не относятся к сфере деятельности помощников по проведению совещаний, схема действий одинакова. Регулирующие органы принимают меры, когда компании собирают или используют личную информацию способами, на которые люди не давали согласия и которые они не могли разумно предвидеть. Записи совещаний часто содержат ту же категорию информации, и в данный момент никто этого не замечает. Комментарий о здоровье, упоминание о результатах работы, данные о клиенте, связанные с конкретным лицом, или конфиденциальная информация, случайно озвученная во время телефонного разговора. Все это становится личными данными после того, как было зафиксировано.

Если эти записи хранятся в системе дольше, чем необходимо, или перемещаются в регионы, о которых люди не были проинформированы, ситуация начинает напоминать сценарии, за которые регулирующие органы уже налагали штрафы. Технология отличается, но основная проблема остается той же. Речь идет об обработке персональных данных без ясности и цели.

Пока еще не было публичных дел, связанных с GDPR, в которых бы рассматривались вопросы, касающиеся помощников на основе искусственного интеллекта. Это не означает, что компании, которые их используют, освобождаются от ответственности. Это просто означает, что данный вопрос еще не стал предметом пристального внимания со стороны регулирующих органов. История других штрафов показывает, как именно будут рассматриваться подобные ситуации, когда это в конечном итоге произойдет.

3 лучших помощника для проведения встреч, соответствующих требованиям GDPR

Я хотел составить аккуратный список из пяти пунктов. Правда, хотел! Я потратил слишком много времени на изучение страниц о конфиденциальности и документов о безопасности, только чтобы обнаружить, что большинство помощников для проведения встреч либо в значительной степени полагаются на центры обработки данных в США, либо делают расплывчатые заявления, которые теряют всякий смысл, как только вы читаете мелкий шрифт. В конце концов, только три инструмента предлагали четкие, обоснованные и публичные обязательства по GDPR, которые казались достаточно убедительными, чтобы ими поделиться.

Эти три компании предлагают прозрачный хостинг, эффективные средства контроля хранения данных, надлежащую документацию и политику конфиденциальности, которая соответствует требованиям европейских предприятий.

1) tl;dv

Создано в Европе с использованием GDPR в качестве базового стандарта

tl;dv

Я работаю с tl;dv, поэтому точно знаю, как продукт обрабатывает данные встреч за кулисами. Он разработан с большой тщательностью, что проявляется в его подходе к GDPR, безопасности и прозрачности. Платформа базируется в Европе, хостинг находится в Европе, и вся система настроена таким образом, чтобы клиенты, особенно те, кто обрабатывает персональные данные из Великобритании или ЕС, имели четкое представление о том, что происходит с их записями.

tl;dv подход, при котором приоритетом является конфиденциальность, а не попытка приспособить язык GDPR к структуре, которая никогда не была создана для этого. Данные шифруются как в состоянии покоя, так и при передаче. Записи и стенограммы хранятся в европейских дата-центрах. Команда ведет внутренний учет операций по обработке данных, чтобы иметь возможность точно показать, как личные данные перемещаются по системе. Эти вещи кажутся незначительными, но они являются основой доверия. Они позволяют клиентам объяснять и обосновывать свой выбор, если в этом возникнет необходимость.

Вы имеете полный контроль над данными ваших встреч

Одна из причин, по которой я доверяю tl;dv широкие возможности выбора, которые она предоставляет клиентам. Вы можете установить срок хранения записей. Вы можете удалить что угодно в любое время. Вы можете скачать все. Вы можете решить, где будет размещен ваш ИИ. Если вашему бизнесу необходимо, чтобы обработка ИИ оставалась в Европе, вы можете заблокировать его в Европе. Если ваша организация охватывает несколько континентов и предпочитает хостинг в США, вы можете сделать такой выбор. Суть в том, что решение остается за вами.

tl;dv предоставляет клиентам четкую информацию о том, как используется сторонний ИИ. Когда платформа использует Anthropic генеративного ИИ, она делает это с соблюдением мер безопасности. Метаданные анонимизируются. Сегменты разбиваются и перемешиваются, поэтому ни одна модель не видит полного разговора. Anthropic обучает ничего на основе ваших данных. Такой уровень прозрачности все еще редко встречается в сфере ИИ, и он важен для GDPR, потому что напрямую связан со справедливостью, ограничением целей и минимизацией данных.

Меры безопасности являются реальными, а не декоративными

tl;dv отчет SOC 2 Type 1, и компания следует структурированному процессу разработки с проверкой кода, тестированием, отдельными средами и регулярным сканированием производственных систем. Трафик зашифрован. Хранение использует надежное шифрование AES-256. Инфраструктура находится на провайдерах, которые уже сертифицированы по стандартам ISO 27001 и SOC, а внутренняя команда контролирует поведение каждой части системы с течением времени.

Повторим: речь не идет о погоне за значками для показухи. Речь идет о том, чтобы, когда клиент спросит: «Где находятся мои данные, кто может их видеть и как долго они там хранятся?», вы могли дать ответ, который выдержит тщательную проверку.

Больше, чем помощник на встрече

Часто упускается из виду то, насколько глубоко tl;dv в более широкую организацию. Люди используют его для записи встреч, но также и для адаптации новых сотрудников, внутреннего обучения, сбора знаний, коучинга, анализа продаж, исследования продуктов и всей той беспорядочной повседневной работы, которая происходит за пределами стандартных звонков. Как только инструмент внедряется, он становится незаметным слоем документации для всей компании. Это делает основу конфиденциальности еще более важной, потому что контент — это не просто разговоры на встречах. Это оперативная память организации.

Вот почему GDPR здесь не является примечанием. Это одна из основных причин, по которой продукт был создан именно таким образом.

tl;dv Обзор GDPR

  • Сильная сторона: надежная защита конфиденциальности на основе общедоступной документации
  • Хостинг: данные хранятся в Европе
  • Обучение: Поставщик заявляет, что данные клиентов не используются для обучения искусственного интеллекта.
  • Обработка искусственным интеллектом: метаданные анонимизированы, а сегменты встреч обрабатываются небольшими рандомизированными частями.
  • Элементы управления: включают режим согласия, настраиваемые параметры хранения и полное удаление данных.
  • Резюме: На основе опубликованной информации tl;dv архитектуру, ориентированную на ЕС, которая при надлежащей настройке поддерживает использование в соответствии с GDPR.

2) Сборка

Структура корпоративного стиля с обширной документацией и строгим контролем

Центр доверия Sembly
Источник: Центр доверия Sembly

Sembly подходит к защите данных очень формально. У них есть полноценный Центр доверия с аудитами SOC 2 Type 2, диаграммами потоков данных, отчетами о пентестинге и подробными политиками безопасности. Они также описывают GDPR как нечто, чему они уделяли приоритетное внимание с самого начала, и документируют, как обрабатываются персональные данные, в манере, которая будет знакома любому, кто работает с командами по обеспечению соответствия.

Одной из отличительных особенностей является их подход к обучению моделей. Корпоративным клиентам дается четкое обещание, что их аудио-, видео- или текстовые данные не будут использоваться для обучения. Другие тарифные планы могут отказаться от этой опции. Это снижает риск непреднамеренного использования личных данных в других целях. Они также публикуют список субпроцессоров, что полезно для оценки воздействия на защиту данных.

Я пытался получить доступ к более подробной документации по GDPR через их Центр доверия, но на момент написания статьи не получил ответа. Тем не менее, судя по тому, что они публикуют, Sembly предлагает уровень структурирования, который подходит для крупных организаций, при условии, что вы правильно управляете согласием и выполняете обязательства, связанные с конкретными встречами.

Sembly — Обзор GDPR

  • Сильная сторона: документация и аудиты по обеспечению соответствия требованиям в стиле крупных предприятий
  • Хостинг: в общедоступных материалах описывается безопасная облачная инфраструктура; полная информация о местонахождении требует прямого подтверждения от поставщика.
  • Обучение: планы Enterprise не включают обучение моделей; другие планы могут отказаться от него.
  • Обработка искусственного интеллекта: шифрование в состоянии покоя и при передаче, опубликованные субпроцессоры
  • Контроль: SOC 2 Type II, материалы Центра доверия, DPA доступно
  • Резюме: Публичная документация свидетельствует о наличии надежной системы обеспечения соответствия требованиям. Полная оценка зависит от доступа к дополнительным материалам, предоставленным поставщиком.

3) Джейми

Хостинг в ЕС и высокая степень конфиденциальности, но зависит от прозрачности пользователей

Значки доверия Джейми
Источник: Значки доверия Джейми

Jamie часто рекомендуется как вариант, обеспечивающий высокий уровень конфиденциальности, поскольку компания базируется в Германии, обрабатывает данные на территории Германии и удаляет исходные аудиозаписи после создания транскрипта. Компания также четко заявляет, что Anthropic хранит и Anthropic данные клиентов для обучения, а также назначает внешнего специалиста по защите данных, который ежегодно проводит аудит соблюдения требований. Техническая база компании прочная и соответствует принципам GDPR.

Вам необходимо понять, как Jamie работает на практике. Он тихо работает на вашем устройстве, а не присоединяется к встрече в качестве видимого участника. Такой подход устраняет неловкость, связанную с входом бота в разговор, но также означает, что ответственность за прозрачность полностью ложится на человека, начинающего запись. GDPR предполагает, что люди должны знать, когда их голоса обрабатываются. Без четкого уведомления или согласия законность таких действий становится сомнительной.

Если команды используют Jamie ответственно и заранее информируют об этом людей, это полностью соответствует требованиям GDPR. Если же они этого не делают, риск возникает скорее из-за недостатка коммуникации, чем из-за самой технологии.

Джейми — Обзор GDPR

  • Преимущества: обработка данных в ЕС с быстрым удалением аудиозаписей и архитектурой, ориентированной на конфиденциальность
  • Хостинг: Поставщик заявляет, что обработка и хранение данных осуществляются во Франкфурте, Германия.
  • Обучение: Поставщик заявляет, что аудиозаписи удаляются после транскрибирования и не используются для обучения модели.
  • Обработка ИИ: окончательные сводки обрабатываются через Anthropic без сохранения
  • Контроль: внешний специалист по защите данных, ежегодные аудиты GDPR, подробная документация по вопросам конфиденциальности
  • Резюме: Jamie поддерживает использование в соответствии с GDPR на техническом уровне; соблюдение требований зависит от предоставления пользователями надлежащего уведомления, поскольку инструмент не виден во время встреч.

Все ли инструменты для обеспечения соответствия GDPR соответствуют требованиям GDPR?

Некоторые инструменты предоставляют обширную документацию, в то время как другие используют более общий язык, что оставляет клиентам больше возможностей для проверки.

Приведенные ниже примеры показывают, как некоторые известные инструменты представляют себя на своих веб-сайтах, а также что может означать такое позиционирование, если вашей организации требуется более строгая настройка, ориентированная в первую очередь на ЕС. Это не является оценкой их качества или законности. Это просто отражает разницу между подходом с высокой степенью прозрачности и подходом, который требует более прямого подтверждения от поставщика перед внедрением.

MeetGeek

MeetGeek указывает GDPR, SOC 2 и HIPAA в числе своих стандартов, что свидетельствует о широком охвате. Общедоступная информация не содержит столь же подробных сведений о регионах хостинга, субпроцессорах или структуре хранения данных, как в случае с ранее рассмотренными инструментами. Для многих команд это может быть приемлемо, но тем, кому требуется подтверждение проживания исключительно в ЕС или подробная документация, возможно, придется запросить более конкретные сведения напрямую.

Лекси

Leexi подчеркивает важность GDPR, сертификации ISO и безопасной обработки данных. Однако в их публичных материалах содержится ограниченная техническая информация о местах хранения, субпроцессорах и поведении при обучении моделей. Организации, которым требуется полная прозрачность потоков данных, должны запросить эту информацию, прежде чем доверять платформе конфиденциальную работу.

Fireflies

Fireflies соответствует требованиям GDPR и SOC 2 Type II, и эта платформа широко используется. Их инфраструктура, по-видимому, опирается на регионы за пределами Европы, а некоторые функции включают в себя средства управления обучением моделей, которые клиенты должны настраивать. Эти моменты не препятствуют использованию в соответствии с GDPR, но означают, что клиентам придется выполнить дополнительную работу по настройке, если им требуется строгая региональная обработка.

Read.ai

Read.ai позиционирует себя как готовый к GDPR и делает акцент на доверии и точности. Сервис обрабатывает данные в США, что является законным при наличии надлежащих мер безопасности. Это просто означает, что команды, которым требуется присутствие только в ЕС, должны будут тщательно оценить условия передачи данных и практику получения согласия.

Gong

Gong обеспечивает высокую коммерческую безопасность и четкую документацию, а также поддерживает GDPR посредством стандартных договорных гарантий. Их подход к хостингу в основном основан на США, что является обычным явлением в корпоративном SaaS. Организации, которым требуются данные резидентов ЕС, должны подтвердить эту настройку непосредственно перед тем, как полагаться на нее в отношении европейских персональных данных.

Эти инструменты могут быть подходящими для многих команд. Единственное отличие заключается в том, что они публикуют меньше подробной информации о резидентстве, переводах, поведении в отношении обучения или удержании персонала, чем три инструмента, ориентированные на ЕС, описанные ранее. Если вы работаете в среде, которая требует строгой региональной обработки, предсказуемого удержания персонала и полностью доступной документации, стоит запросить эту информацию непосредственно у поставщика, прежде чем применять любой инструмент, описанный как «соответствующий GDPR».

Как выбрать помощника для проведения первых встреч по GDPR для вашей команды

Как только вы поймете, насколько по-разному компании используют фразу «соответствие GDPR», вам будет легче выбрать помощника для проведения совещаний, который действительно будет поддерживать ваши обязанности. Для этого не нужно иметь юридическое образование. Вам просто нужно знать, что спросить и как должен ответить ответственный поставщик.

Лучше всего начать с основ:

  • Где хранятся ваши записи и может ли все оставаться в пределах Европы
  • Как долго инструмент хранит ваши данные и можете ли вы установить свои собственные правила хранения
  • Используется ли контент встреч для обучения моделей искусственного интеллекта и можно ли отключить эту функцию
  • Какие субпроцессоры участвуют в процессе и имеют ли они доступ к личным данным
  • Можете ли вы ознакомиться с Соглашением об обработке данных перед принятием обязательств
  • Как работает удаление, доступ и экспорт записей и стенограмм
  • Можно ли выбрать региональный хостинг ИИ или ограничить всю обработку Европой
  • Любой помощник на встрече, который ожидает от вас записи выступлений участников, должен быть готов ответить на эти вопросы просто и прямо.

Если вы работаете с DPO или юридической командой, они будут требовать предсказуемых мер безопасности.

Они будут искать четкую информацию о хостинге, детали шифрования, опубликованный список субпроцессоров и понятное объяснение того, как инструмент обрабатывает обучение моделей и региональную обработку. Они не ожидают совершенства, но ожидают прозрачности и практических средств контроля.

Вы можете облегчить принятие решения, выбрав инструмент, который с самого начала построен на этих принципах. На странице «Конфиденциальность и безопасность»tl;dv подробно объясняется, как данные хранятся в Европе, как работает обработка с помощью ИИ и как вы можете контролировать хранение, удаление и хостинг данных.

Если вам нужен помощник для проведения встреч, который поддерживает GDPR без лишней работы и догадок, это полезное место для начала.

Часто задаваемые вопросы о GDPR и помощниках для встреч с искусственным интеллектом

Вы должны убедиться, что все участники встречи знают, что разговор записывается или транскрибируется. Согласие является самым простым законным основанием, и большинство команд используют его, чтобы избежать путаницы.

Да. Голоса, имена, должности и все, что было сказано во время звонка, могут идентифицировать человека, что делает записи встреч персональными данными.

Да, но только в том случае, если передача данных осуществляется надлежащим образом и инструмент обеспечивает соответствующие меры безопасности. По этой причине многие команды предпочитают инструменты, базирующиеся в ЕС.

Ищите четкую информацию о хостинге, опубликованный список субпроцессоров и соглашение об обработке данных, в котором указано, где обрабатываются персональные данные.

Возможно. GDPR требует четкой информации о том, как используются персональные данные. Вам нужна возможность отключить обучение, если вы работаете с конфиденциальным контентом или европейскими клиентами.

Вы должны зафиксировать правовую основу, способ информирования участников, место хранения данных и срок, в течение которого вы планируете хранить записи.

Только до тех пор, пока они необходимы для достижения четкой цели. Вы должны установить правила хранения и удалять записи, когда они больше не требуются.

Хостинг в ЕС, контроль удаления данных, настройки хранения, четкие политики обучения искусственного интеллекта и доступный DPA значительно упрощают использование в соответствии с GDPR.

Да, tl;dv требованиям GDPR. Он предоставляет пользователям возможности хранения данных в ЕС, публикует четкое соглашение об обработке данных, обеспечивает детальный контроль хранения данных и позволяет отключить обучение ИИ на основе содержания встреч. Он также раскрывает информацию обо всех субпроцессорах и следует строгим стандартам безопасности, чтобы команды могли записывать и обрабатывать встречи в соответствии с GDPR.