Вибір помічника для проведення зустрічей, що відповідає вимогам GDPR — це одна з тих сучасних проблем, про які ніхто ніколи не хотів думати.

Ви налаштовуєте простий відеодзвінок, натискаєте кнопку запису і раптом опиняєтеся по коліна в законах про дані, правилах згоди та питаннях про те, де насправді зберігається ваша зустріч. Я сам пережив цю паніку. Задовго до офіційного вступу в силу GDPR я вже мав справу з реєстрацією в ICO відповідно до старого Закону про захист даних, і до моменту набрання чинності новим регламентом я так переживав, що можу щось зробити не так, що зареєструвався як контролер даних, щоб бути впевненим у своїй безпеці.

Здається, що GDPR існує вже вічно, адже перша пропозиція з'явилася ще в 2012 році. Закон був прийнятий у 2016 році і вступив в силу в 2018 році, але роки до цього були хаотичними. Поштові скриньки заповнювалися листами з проханням «залишатися передплатником». Компанії видаляли цілі списки розсилки, бо боялися штрафів. Команди додавали подвійну згоду до всього, що рухалося, бо були розгублені і не хотіли ризикувати.

І так, штрафи були реальними. Компанія H&M отримала значний штраф за ведення детальних, недоречних записів про персонал. Відомий британський сайт для батьків був оштрафований за продаж даних про матерів і дітей політичним групам під час виборів. Я пам'ятаю про це лише тому, що досі отримую від них рекламні листи, хоча мої діти вже підлітки і досконало оволоділи мистецтвом закочувати очі.

Це має ще більшу вагу у світі помічників для зустрічей на базі штучного інтелекту. Ці інструменти записують голоси, фіксують дані клієнтів і зберігають розмови, які часто містять конфіденційну або чутливу інформацію. Усі ці дані є персональними даними відповідно до GDPR. Записи. Транскрипти. Навіть підсумки, складені штучним інтелектом. Тому якщо ви працюєте у Великій Британії чи ЄС або співпрацюєте з людьми, які там працюють, вам потрібен помічник для зустрічей, який дійсно відповідає вимогам GDPR, а не той, який тихо зберігає ваші дані в регіоні США з нечіткими обіцянками щодо безпеки.

Цей посібник роз'яснює все простими словами. Що означає GDPR для записів засідань. Які ризики існують, якщо ігнорувати його. Які помічники для проведення засідань дійсно сприяють дотриманню вимог, а які — ні. Без жаргону, без юридичних викрутасів. Тільки практичні поради, які я хотів би отримати, перш ніж панікувати протягом перших років дії GDPR.

Зміст

Ваш контрольний список GDPR для вибору помічника для проведення зустрічей

GDPR в двох словах

Використовуйте це як короткий контрольний список, коли ви розглядаєте будь-якого помічника для зустрічей або секретаря з штучним інтелектом.

  • Люди знають, що їх записують
    Учасникам повідомляють, що зустріч записується або транскрибується, і вони розуміють мету цього.
  • Існує законна причина для запису
    Компанія має дійсну правову підставу, таку як згода або чітка ділова необхідність, що була задокументована.
  • Зберігаються тільки мінімальні дані
    Записи та транскрипти обмежуються тим, що дійсно потрібно, а не зберігаються за замовчуванням.
  • Дані зберігаються у відповідних регіонах
    Персональні дані громадян ЄС або Великобританії зберігаються у місцях та у постачальників, які відповідають стандартам GDPR.
  • Люди можуть отримати доступ до своїх даних або видалити їх
    Існує чіткий процес задоволення запитів на доступ, виправлення та видалення вмісту зустрічей.
  • Постачальники пояснюють, як ШІ використовує дані
    Інструмент вказує, чи використовуються записи або транскрипти для навчання ШІ, і дозволяє клієнтам контролювати це.

Цей контрольний список призначений лише для загальної інформації і не замінює юридичну консультацію.

tl;dr: GDPR та помічники для зустрічей

  • Записи зустрічей вважаються персональними даними, тому вам потрібен інструмент, який відкрито повідомляє про зберігання, утримання, субпроцесорів, поведінку штучного інтелекту та регіональну обробку.
  • Згідно з публічною інформацією, наданою постачальниками, tl;dv, Sembly та Jamie пропонують найчіткішу документацію, що відповідає вимогам GDPR. Інші інструменти також можуть бути придатними, але зазвичай потребують додаткової перевірки з боку постачальника.
  • Багато інших інструментів роблять широкі заяви, але залишають прогалини щодо регіонів хостингу, навчання моделей та потоку даних, що означає більше роботи для організацій, які в першу чергу орієнтовані на ЄС.
  • Найбезпечнішим вибором є помічник для проведення зустрічей, який забезпечує повний контроль над зберіганням, видаленням, місцем зберігання даних та обробкою штучним інтелектом, а також публікує належний договір про обробку даних (DPA).

Що таке GDPR і чому це важливо для асистентів з організації зустрічей?

GDPR — це закон ЄС та Великої Британії про захист даних, який, по суті, призначений для захисту реальних людей, навіть якщо ці люди беруть участь у чомусь, що здається суто професійним. Бізнес-середовище не позбавляє людину прав на власну інформацію. Якщо асистент зустрічі записує дзвінок, в якому чути чийсь голос, ім'я, посаду або будь-що, що пов'язує цю людину з записом, то застосовується GDPR.

Асистенти, які беруть участь у нарадах, працюють у незвичайному просторі. Вони мають справу з бізнес-даними, але обробляють їх через конкретних осіб. Оновлення проекту, розмова з клієнтом або дзвінок з метою продажу можуть здаватися безликими, але інформація все одно належить реальним співробітникам, підрядникам або клієнтам. Ось чому тут важливе значення має регулювання. Ці інструменти фіксують деталі рішень, обговорень, ідей та реакцій таким чином, що раптом стає видимим людина, яка стоїть за посадою.

Якщо подивитися на це з такого ракурсу, GDPR стає набагато більш актуальним для повсякденної роботи, ніж багато команд очікують.

Що вважається особистими даними в записі ділової зустрічі?

Особисті дані в бізнес-контексті мають ширше значення, ніж зазвичай вважають. Вони охоплюють будь-яку інформацію, яка може ідентифікувати особу або безпосередньо стосуватися її, навіть якщо ця інформація пов'язана з її роботою, а не з особистим життям.

Це може бути голос людини під час телефонної розмови. Це може бути її ім'я або посада, коли вона представляється. Це може бути адреса електронної пошти, що відображається на екрані, або коментар про її робоче навантаження, результати роботи, відвідуваність або доступність. Це може бути фінансовий показник, пов'язаний з конкретним менеджером клієнтів. Це може навіть включати нотатки, створені штучним інтелектом, якщо вони підсумовують або посилаються на особу, яку можна ідентифікувати.

Запис зустрічі часто містить все це протягом декількох хвилин, іноді навіть без того, щоб хтось це помітив. Багато компаній потрапляють у халепу саме через перетин «ділової інформації» та «особистої інформації в діловому середовищі».

Принципи GDPR простими словами для зайнятих команд

GDPR може здаватися складним, але основні ідеї є досить простими. Ви повинні відкрито повідомляти людям, що ви записуєте і чому. Ви повинні збирати тільки те, що вам потрібно, і уникати зберігання записів довгий час після того, як вони виконали своє призначення. Ви повинні зберігати все в безпечному місці і уникати систем, які розкидають ваші дані по невідомих регіонах. Ви повинні надати людям можливість переглядати або видаляти свою інформацію, коли це необхідно. Вам також потрібна вагома причина для запису, що в діловій зустрічі зазвичай означає чітку згоду від людей, які беруть участь.

Ці принципи застосовуються як до понеділкової ранкової наради, так і до презентації для клієнтів. Обставини змінюються, але права залишаються незмінними.

 

Чому GDPR застосовується навіть якщо ваша компанія базується в США або в іншій країні

Багато людей за межами Європи вважають, що GDPR застосовується лише в тому випадку, якщо їхня компанія фізично розташована у Великобританії або ЄС. Насправді ж, закон поширюється також на будь-яку організацію, яка обробляє персональні дані осіб у цих регіонах, якщо така обробка пов'язана з наданням їм послуг.

Якщо ваша компанія працює з європейськими клієнтами або якщо у вас є співробітники в Європі, які беруть участь у записаних зустрічах, то GDPR стає частиною ваших обов'язків, навіть якщо ваша штаб-квартира знаходиться десь інде.

Це може застати людей зненацька, оскільки асистенти сидять тихо в тлі, записуючи голоси та зберігаючи те, що здається звичайними діловими розмовами. Ці записи можуть містити імена, посади, думки, дані про клієнтів, фінансові обговорення та все те, що дозволяє ідентифікувати особу в її професійному середовищі. Як тільки європейський учасник приєднується до дзвінка, його інформація стає персональними даними згідно з європейським законодавством, а це означає, що вам потрібен інструмент, який обробляє її належним чином.

Ситуація ускладнюється, коли ваш помічник для проведення зустрічей зберігає записи за межами Європи. У той момент, коли особисті дані залишають територію Великої Британії або ЄС, компанія, яка їх обробляє, повинна покладатися на затверджені заходи безпеки та надавати чітку інформацію про те, куди надходять дані, як довго вони там зберігаються і хто може отримати до них доступ. Це також включає відкритість щодо того, чи використовуються дані зустрічей для розробки функцій штучного інтелекту, оскільки люди мають право знати, як використовується їхня інформація.

Це не означає, що ви не можете використовувати помічника, який не є європейцем. Це просто означає, що вам потрібно більше часу на проведення належної перевірки. Вам потрібно зрозуміти, де компанія зберігає дані, які правила зберігання застосовує та які практики навчання використовує, перш ніж вирішувати, чи відповідає вона вашим обов'язкам згідно з GDPR.

Закони про конфіденційність в інших країнах також відображають це. У Бразилії діє LGPD, в Японії — APPI, а в Каліфорнії — власні суворі правила (CCPA), що передбачають більш жорсткі вимоги щодо згоди на записи. GDPR залишається основою для багатьох глобальних компаній, але загальна тема залишається незмінною. Якщо ви обробляєте інформацію про реальних людей за межами своєї країни, вам потрібен помічник для проведення зустрічей, який відповідально ставиться до цієї інформації.

Європейські помічники для проведення зустрічей часто спрощують це завдання, оскільки їхні вимоги щодо зберігання даних, запити на згоду та опції зберігання вже відповідають нормам регулювання. Це не робить їх єдиним варіантом, але надає їм більш стабільну основу для тих, хто працює з європейськими клієнтами.

Робота над GDPR
Приклад «GDPR», який ще не повністю відповідає вимогам

Відповідність GDPR проти «прагнення до відповідності»

Більшість помічників для проведення зустрічей поділяються на дві групи. Є компанії, які дійсно підтримують GDPR, і є компанії, які говорять про це з надією, не підтверджуючи нічого конкретного. Різниця має значення, оскільки GDPR — це не марка, яку можна заявити в маркетингових матеріалах. Це правова база з конкретними вимогами, які повинні бути вбудовані в продукт, а не додані згодом.

Помічник для проведення зустрічей, який дійсно підтримує дотримання нормативних вимог, продемонструє вам, як він обробляє ваші дані, у зрозумілій формі. Компанія, яка все ще «працює над дотриманням нормативних вимог», намагатиметься здаватися корисною, не надаючи вам деталей, необхідних для прийняття відповідального рішення. Коли ви знаєте, на що звертати увагу, різниця стає очевидною.

Як розпізнати справжню відповідність GDPR у помічнику для проведення зустрічей

Коли компанія серйозно ставиться до GDPR, це видно з того, як вона подає інформацію. Вона пояснює, де зберігаються ваші дані і як довго вони там залишаються. Вона надає вам контроль над зберіганням, видаленням та доступом. Вона детально описує своїх субпідрядників. Вона повідомляє, чи використовує записи зустрічей для навчання функцій штучного інтелекту. Вона описує свої заходи безпеки достатньо детально, щоб вони здавалися обґрунтованими, а не декоративними.

Вони також надають належну угоду про обробку даних. Її має бути легко знайти, вона не повинна бути прихованою за продажами. Угода повинна визначати обов'язки обох сторін, відображати реальність функціонування послуги та бути зрозумілою для неспеціаліста, який намагається виконати свої зобов'язання.

Справжні компанії, орієнтовані на GDPR, як правило, розробляють свої інструменти таким чином, щоб відповідність вимогам була стандартом, а не чимось, що потрібно обходити. Вам не доведеться змушувати їх бути прозорими, оскільки вони вже розуміють, чому це важливо.

Червоні прапорці в політиках конфіденційності та на сторінках безпеки

Червоні прапорці зазвичай з'являються, коли компанія хоче отримати довіру до GDPR без необхідності виконувати роботу, пов'язану з її підтримкою. Першою ознакою є нечіткі формулювання щодо місць зберігання даних. Якщо вони кажуть, що «ваші дані можуть зберігатися в декількох безпечних регіонах», не повідомляючи, які саме це регіони, ви можете тільки здогадуватися, де насправді зберігаються записи ваших зустрічей.

Ще одним тривожним сигналом є те, що компанія не вказує чітко, чи використовує вона дані клієнтів для розробки своїх функцій штучного інтелекту. Деякі приховують це за загальними формулюваннями про «поліпшення сервісу», що не є тим самим, що повідомити вам про те, що ваші записані зустрічі можуть бути використані у внутрішніх навчальних процесах.

Ви також повинні задуматися, якщо компанія багато говорить про загальну безпеку, але уникає конкретики. Фрази про «найкращі практики» та «галузеві стандарти» не дають вам зрозуміти, чи надає сервіс вам контроль над збереженням даних або чи дотримується ваших запитів на видалення.

Найбільшою тривожною ознакою є плутанина. Якщо після ознайомлення з політикою компанії ви не можете зрозуміти, як вона обробляє дані про ваші зустрічі, ймовірно, для цього є причина.

Чому таких нечітких тверджень, як «Наші клієнти кажуть, що ми дотримуємося GDPR», недостатньо

Деякі помічники на зустрічах намагаються заспокоїти людей, кажучи, що їхні клієнти вважають їх такими, що відповідають вимогам GDPR. Це звучить втішно, доки ви не усвідомлюєте, що це нічого не підтверджує. GDPR не базується на думці клієнтів. Він базується на чітких зобов'язаннях та відповідальності, які можна продемонструвати за допомогою документації, технічних рішень та підзвітних процесів.

Компанія не може передати відповідальність за дотримання вимог настроям споживачів. Вона також не може стверджувати, що дотримання вимог досягається завдяки популярності. Якщо єдиним доказом є те, що «багато споживачів використовують наш продукт в Європі», це не свідчить про те, що сама компанія дотримується вимог регулювання.

Вам потрібна впевненість, а не відчуття. Вам потрібно знати, куди потрапляють ваші записи, хто має до них доступ, як довго вони зберігаються і чи використовує їх хтось для навчання моделей. Це фактичні питання, на які є фактичні відповіді. Якщо компанія не може надати вам ці відповіді, ви не можете покладатися на заспокійливі слова клієнта.

Що станеться, якщо ви проігноруєте GDPR?

Більшість підприємств мають добрі наміри. Вони записують зустрічі, щоб заощадити час і зменшити кількість непорозумінь. Проблема полягає в тому, що GDPR не зосереджується на намірах. Він зосереджується на тому, що насправді відбувається з персональними даними після їх збору. Коли компанія ігнорує GDPR, навіть випадково, наслідки можуть бути серйозними і проявитися через довгий час після проведення зустрічі.

Ризик полягає не тільки у великих штрафах, хоча вони є реальними і вплинули на підхід регуляторних органів до даних на робочому місці. Більш глибока проблема полягає в тому, що записи зустрічей містять набагато більше особистої інформації, ніж люди усвідомлюють. Одне необережне рішення щодо зберігання може призвести до порушення. Один нечіткий підхід до згоди може стати приводом для скарги. Одне упущення в зберіганні може призвести до того, що записи за кілька років залишаться на сервері.

Приклади, які показують, наскільки серйозними можуть бути регуляторні органи

Я вже згадував про ці випадки раніше, але варто розглянути їх детальніше, оскільки вони точно показують, як регуляторні органи ставляться до ситуацій, коли компанії збирають або зберігають інформацію про людей без чіткої причини.

Компанія H&M отримала штраф у розмірі 35,3 мільйона євро від органу з питань захисту даних Гамбурга після того, як керівники створили детальні файли про співробітників. Ці файли містили інформацію про приватні сімейні справи, проблеми зі здоров'ям та особисті спостереження, які були зібрані таємно протягом тривалого часу. Ця інформація потім використовувалася при прийнятті рішень щодо кадрового забезпечення. Регулюючий орган розглядав це як втручання в приватне життя, яке значно перевищувало те, чого могли очікувати співробітники.

Компанія Lifecycle Marketing, яка управляє веб-сайтом Emma’s Diary, була оштрафована ICO на 140 000 фунтів стерлінгів. Компанія збирала дані від молодих матерів, які вважали, що підписуються на отримання порад щодо вагітності та догляду за дитиною. Пізніше ця інформація була передана політичній організації під час виборів без будь-яких пояснень у політиці конфіденційності. Батьки не мали підстав вважати, що їхні дані будуть використані в такому контексті.

Хоча ці випадки не стосуються світу помічників для проведення зустрічей, схема є такою самою. Регулюючі органи вживають заходів, коли компанії збирають або використовують особисту інформацію в спосіб, на який люди не давали згоди і якого вони не могли розумно передбачити. Записи зустрічей часто містять такі самі категорії інформації, і ніхто цього не помічає в той момент. Коментар про здоров'я, згадка про результати роботи, інформація про клієнта, пов'язана з конкретною особою, або конфіденційна інформація, випадково озвучена під час дзвінка. Все це стає особистими даними, щойно їх записано.

Якщо ці записи зберігаються в системі довше, ніж це необхідно, або переміщуються в регіони, про які люди ніколи не знали, ситуація починає нагадувати сценарії, за які регуляторні органи вже застосовували санкції. Технологія інша, але основна проблема залишається тією самою. Це обробка персональних даних без ясності та мети.

Досі не було жодного публічного випадку порушення GDPR, пов'язаного з використанням помічників на основі штучного інтелекту. Це не означає, що компанії, які їх використовують, звільнені від відповідальності. Це просто означає, що питання ще не дійшло до гучного розслідування з боку регуляторних органів. Історія інших штрафів показує, як саме такі ситуації, ймовірно, будуть розглядатися, коли це врешті-решт станеться.

3 найкращі помічники для проведення зустрічей, що відповідають вимогам GDPR

Я хотів скласти чіткий список з п'яти пунктів. Справді хотів!!! Я витратив надто багато часу, переглядаючи сторінки про конфіденційність та документи про безпеку, лише для того, щоб виявити, що більшість помічників для проведення зустрічей або сильно покладаються на американські центри обробки даних, або роблять нечіткі заяви, які розсипаються, як тільки ви прочитаєте дрібний шрифт. Зрештою, лише три інструменти пропонували чіткі, обґрунтовані та публічні зобов'язання щодо GDPR, які здавалися достатньо вагомими, щоб ними поділитися.

Ці три компанії мають прозорий хостинг, дієві засоби контролю збереження даних, належну документацію та політику конфіденційності, яка відповідає вимогам європейських підприємств.

1) tl;dv

Створено в Європі на основі GDPR

tl;dv

Я працюю з tl;dv, тому точно знаю, як продукт обробляє дані зустрічей за лаштунками. Він розроблений з великою ретельністю, що проявляється в його підході до GDPR, безпеки та прозорості. Платформа базується в Європі, хостинг знаходиться в Європі, і вся система налаштована таким чином, щоб клієнти, особливо ті, які обробляють особисті дані Великобританії або ЄС, мали чітке уявлення про те, що відбувається з їхніми записами.

tl;dv дизайн, що ставить на перше місце конфіденційність, а не намагається обгорнути мовою GDPR структуру, яка ніколи не була для цього створена. Дані шифруються під час зберігання та передачі. Записи та транскрипти зберігаються в європейських дата-центрах. Команда веде внутрішній облік обробки даних, щоб мати змогу точно показати, як особисті дані переміщуються системою. Ці речі здаються дрібними, але вони є основою довіри. Вони дають змогу клієнтам пояснити та обґрунтувати свій вибір, якщо це коли-небудь знадобиться.

Ви маєте повний контроль над даними про свої зустрічі

Однією з причин, чому я довіряю tl;dv рівень вибору, який він надає клієнтам. Ви можете встановити, як довго зберігатимуться ваші записи. Ви можете видалити будь-що в будь-який час. Ви можете завантажити все. Ви можете вирішити, де буде розміщено ваше ШІ. Якщо вашому бізнесу потрібно, щоб обробка ШІ залишалася в Європі, ви можете зафіксувати її в Європі. Якщо ваша організація охоплює кілька континентів і віддає перевагу хостингу в США, ви можете зробити такий вибір. Суть у тому, що рішення залишається за вами.

tl;dv надає клієнтам чітку інформацію про те, як залучається штучний інтелект сторонніх розробників. Коли платформа використовує Anthropic генеративного штучного інтелекту, вона робить це з певними запобіжними заходами. Метадані анонімізуються. Сегменти розбиваються і перемішуються, щоб жодна модель не бачила повної розмови. Anthropic нічого на основі ваших даних. Такий рівень прозорості все ще рідкісний у сфері штучного інтелекту, і він має значення для GDPR, оскільки безпосередньо стосується справедливості, обмеження цілей та мінімізації даних.

Засоби безпеки є реальними, а не декоративними

tl;dv звіт SOC 2 Type 1, і компанія дотримується структурованого процесу розробки з перевіркою коду, тестуванням, окремими середовищами та регулярним скануванням виробничих систем. Трафік шифрується. Для зберігання використовується надійне шифрування AES-256. Інфраструктура розміщена на серверах провайдерів, які вже сертифіковані за стандартами ISO 27001 та SOC, а внутрішня команда контролює поведінку кожної частини системи протягом часу.

Ще раз підкреслюємо, що мова не йде про гонитву за значками для показухи. Йдеться про те, щоб, коли клієнт запитає: «Де мої дані, хто їх бачить і як довго вони там зберігаються?», ви могли дати відповідь, яка витримає ретельну перевірку.

Більше ніж помічник для зустрічей

Часто не беруть до уваги те, наскільки глибоко tl;dv в більш широку організацію. Люди використовують його для запису зустрічей, але також для адаптації нових співробітників, внутрішнього навчання, фіксації знань, коучингу, аналізу продажів, дослідження продуктів і всієї тієї хаотичної повсякденної роботи, яка відбувається поза стандартними дзвінками. Після впровадження інструмент стає тихим шаром документації для всієї компанії. Це робить основу конфіденційності ще більш важливою, оскільки вміст — це не просто розмови під час зустрічей. Це оперативна пам'ять організації.

Ось чому GDPR тут не є просто приміткою. Це одна з основних причин, чому продукт був створений саме таким чином.

tl;dv Огляд GDPR

  • Сильна сторона: Міцна позиція щодо конфіденційності, заснована на загальнодоступній документації.
  • Хостинг: Дані зберігаються в Європі
  • Навчання: Постачальник заявляє, що дані клієнтів не використовуються для навчання штучного інтелекту.
  • Обробка штучного інтелекту: метадані анонімізовані, а сегменти зустрічей обробляються невеликими випадковими частинами.
  • Елементи керування: включає режим згоди, налаштування збереження даних та повне видалення даних
  • Короткий зміст: На основі опублікованої інформації, tl;dv архітектуру, орієнтовану на ЄС, яка при відповідній конфігурації підтримує використання, що відповідає вимогам GDPR.

2) Збірка

Структура корпоративного стилю з великим обсягом документації та жорстким контролем

Центр довіри Sembly
Джерело: Центр довіри Sembly

Sembly застосовує дуже формальний підхід до захисту даних. Вони мають повноцінний Центр довіри з аудитами SOC 2 Type 2, діаграмами потоків даних, звітами про пентести та детальними політиками безпеки. Вони також описують GDPR як щось, чому вони надавали пріоритет з самого початку, і документують, як обробляються особисті дані, у спосіб, який є звичним для всіх, хто працює з командами з дотримання нормативних вимог.

Однією з особливостей, що виділяється, є їх підхід до навчання моделей. Корпоративним клієнтам дається чітка обіцянка, що їх аудіо-, відео- або текстові дані не будуть використовуватися для навчання. Інші плани можуть відмовитися від цього. Це зменшує ризик ненавмисного використання особистих даних у вторинних цілях. Вони також публікують список субпроцесорів, що є корисним для оцінки впливу на захист даних.

Я намагався отримати доступ до більш детальної документації щодо GDPR через їхній Центр довіри, але на момент написання статті не отримав відповіді. Незважаючи на це, виходячи з того, що вони публікують, Sembly пропонує рівень структури, який підходить для великих організацій, за умови, що ви належним чином керуєте згодою та зобов'язаннями, пов'язаними з конкретними зустрічами.

Sembly — Огляд GDPR

  • Сильна сторона: документація та аудити щодо дотримання вимог у стилі корпоративного рівня
  • Хостинг: у відкритих матеріалах описано безпечну хмарну інфраструктуру; повна інформація про місцезнаходження вимагає прямого підтвердження від постачальника.
  • Навчання: Плани для підприємств не включають навчання моделей; інші плани можуть відмовитися від цього.
  • Обробка штучного інтелекту: шифрування під час зберігання та передачі, опубліковані субпроцесори
  • Контроль: SOC 2 Type II, матеріали Центру довіри, доступний DPA
  • Резюме: Публічна документація свідчить про наявність надійної системи забезпечення відповідності вимогам. Повна оцінка залежить від доступу до додаткових матеріалів, наданих постачальником.

3) Джеймі

ЄС є господарем і дуже дбає про конфіденційність, але залежить від прозорості користувачів

Значки довіри Джеймі
Джерело: Jamie Trust Badges

Jamie часто рекомендують як варіант, що забезпечує конфіденційність, оскільки компанія базується в Німеччині, обробляє дані всередині Німеччини та видаляє необроблені аудіофайли після створення транскрипту. Вони також чітко заявляють, що Anthropic зберігає та Anthropic дані клієнтів для навчання, а також призначають зовнішнього інспектора з захисту даних, який щороку перевіряє дотримання ними вимог. Технічна база є міцною і відповідає принципам GDPR.

Вам потрібно зрозуміти, як Jamie працює на практиці. Він тихо працює на вашому пристрої, а не приєднується до зустрічі як видимий учасник. Такий підхід усуває незручність, пов'язану з входженням бота в дзвінок, але це також означає, що відповідальність за прозорість повністю покладається на особу, яка починає запис. GDPR передбачає, що люди повинні знати, коли їхні голоси обробляються. Без чіткого повідомлення або кроку згоди законна основа стає хиткою.

Якщо команди відповідально використовують Jamie і заздалегідь повідомляють про це людей, це повністю відповідає вимогам GDPR. Якщо ж вони цього не роблять, ризик виникає через відсутність комунікації, а не через саму технологію.

Джеймі — Огляд GDPR

  • Сильна сторона: обробка даних в ЄС із швидким видаленням аудіозаписів та архітектурою, орієнтованою на конфіденційність.
  • Хостинг: Постачальник заявляє, що обробка та зберігання даних відбуваються у Франкфурті, Німеччина.
  • Навчання: Постачальник заявляє, що аудіозаписи видаляються після транскрибування і не використовуються для навчання моделі.
  • Обробка штучного інтелекту: остаточні підсумки обробляються через Anthropic без збереження
  • Засоби контролю: зовнішній спеціаліст із захисту даних, щорічні аудити GDPR, детальна документація щодо конфіденційності
  • Короткий виклад: Jamie підтримує використання, що відповідає GDPR, на технічному рівні; відповідність вимогам залежить від того, чи надають користувачі належне повідомлення, оскільки інструмент не видно під час зустрічей.

Чи всі інструменти для обробки скарг відповідають вимогам GDPR?

Деякі інструменти надають вичерпну документацію, тоді як інші використовують більш загальну мову, що залишає клієнтам більше можливостей для перевірки.

Наведений нижче приклад показує, як деякі відомі інструменти презентують себе на своїх веб-сайтах, а також що таке позиціонування може означати, якщо ваша організація потребує більш суворого налаштування, орієнтованого на ЄС. Це не є оцінкою їхньої якості чи законності. Це просто відображає різницю між підходом з високою прозорістю та підходом, який вимагає більш прямого підтвердження від постачальника перед прийняттям.

MeetGeek

MeetGeek вказує GDPR, SOC 2 та HIPAA серед своїх стандартів, що свідчить про широке охоплення. Публічно доступна інформація не містить такої ж деталізації щодо регіонів хостингу, субпідрядників або структури зберігання даних, як у випадку з інструментами, розглянутими раніше. Для багатьох команд це може бути прийнятним, але тим, хто потребує підтвердження проживання виключно в ЄС або детальної документації, можливо, доведеться безпосередньо запитувати більш конкретну інформацію.

Лексі

Leexi акцентує увагу на GDPR, сертифікації ISO та безпечній обробці даних. Однак їхні публічні матеріали містять обмежену технічну інформацію про місця зберігання, субпроцесорів та поведінку моделей навчання. Організації, яким необхідна повна прозорість потоків даних, повинні запросити цю інформацію, перш ніж покладатися на платформу для виконання конфіденційної роботи.

Fireflies

Fireflies відповідають вимогам GDPR та SOC 2 Type II, а платформа широко використовується. Їх інфраструктура, як видається, базується на регіонах за межами Європи, а деякі функції передбачають контроль навчання моделей, який клієнти повинні налаштовувати самостійно. Ці моменти не перешкоджають використанню відповідно до GDPR, але означають, що клієнтам доведеться виконати більше налаштувань, якщо їм потрібна сувора регіональна обробка даних.

Read.ai

Read.ai позиціонує себе як готовий до GDPR і наголошує на довірі та точності. Сервіс обробляє дані в США, що є законним за умови наявності відповідних заходів безпеки. Це просто означає, що команди, яким потрібна присутність виключно в ЄС, повинні ретельно оцінювати домовленості про передачу даних та практику отримання згоди.

Gong

Gong забезпечує високий рівень комерційної безпеки та чітку документацію, а також підтримує GDPR завдяки стандартним договірним гарантіям. Їх підхід до хостингу в основному базується на США, що є типовим для корпоративного SaaS. Організації, яким необхідні дані резидентів ЄС, повинні підтвердити цю настройку безпосередньо, перш ніж покладатися на неї для європейських персональних даних.

Ці інструменти можуть бути підходящими для багатьох команд. Єдина відмінність полягає в тому, що вони публікують менше деталей про місце проживання, переведення, поведінку під час навчання або утримання персоналу, ніж три інструменти ЄС, описані вище. Якщо ви працюєте в середовищі, яке вимагає суворого регіонального оброблення даних, передбачуваного утримання персоналу та повністю доступної документації, варто запросити цю інформацію безпосередньо у постачальника, перш ніж застосовувати будь-який інструмент, описаний як «відповідний GDPR».

Як вибрати помічника для першої зустрічі щодо GDPR для вашої команди

Коли ви зрозумієте, наскільки по-різному компанії використовують фразу «відповідність GDPR», вам буде легше вибрати помічника для проведення нарад, який дійсно допоможе вам виконувати ваші обов'язки. Для цього не потрібно мати юридичну освіту. Потрібно лише знати, про що запитати і як повинен відповісти відповідальний постачальник.

Хорошим початком буде вивчення основ:

  • Де зберігаються ваші записи і чи все може залишатися в межах Європи
  • Як довго інструмент зберігає ваші дані та чи можете ви встановити власні правила зберігання
  • Чи використовується вміст зустрічей для навчання моделей штучного інтелекту і чи можна це вимкнути
  • Які субпідрядники беруть участь і чи бачать вони будь-які персональні дані
  • Чи можете ви ознайомитися з Угодою про обробку даних перед тим, як взяти на себе зобов'язання
  • Як працює видалення, доступ та експорт записів і транскриптів
  • Чи можете ви вибрати регіональний хостинг ШІ або обмежити всю обробку даними лише Європою
  • Будь-який помічник на зустрічі, який очікує, що ви будете записувати людей, повинен бути готовий відповісти на ці питання просто і прямо.

Якщо ви працюєте з відповідальним за захист даних або юридичною командою, вони будуть вимагати передбачуваних гарантій.

Вони будуть шукати чітку інформацію про хостинг, деталі шифрування, опублікований список субпроцесорів та зрозуміле пояснення того, як інструмент обробляє навчання моделей та регіональну обробку. Вони не очікують досконалості, але очікують прозорості та практичних засобів контролю.

Ви можете полегшити прийняття рішення, вибравши інструмент, який з самого початку побудований на цих принципах. На сторінці «Приватність та безпека»tl;dv докладно пояснюється, як саме зберігаються дані в Європі, як працює обробка штучного інтелекту та як ви можете контролювати зберігання, видалення та хостинг.

Якщо вам потрібен помічник для проведення зустрічей, який підтримує GDPR без додаткових зусиль і здогадок, це хороше місце для початку.

Часті запитання про GDPR та помічників для зустрічей на базі штучного інтелекту

Ви повинні переконатися, що всі учасники наради знають про те, що розмова записується або транскрибується. Згода є найпростішою законною підставою, і більшість команд використовують її, щоб уникнути плутанини.

Так. Голоси, імена, посади та все, що було сказано під час дзвінка, можуть ідентифікувати особу, що робить записи зустрічей персональними даними.

Так, але тільки в тому випадку, якщо передача даних здійснюється належним чином, а інструмент забезпечує відповідні заходи безпеки. З цієї причини багато команд віддають перевагу інструментам, що базуються в ЄС.

Шукайте чітку інформацію про хостинг, опублікований список субпідрядників та угоду про обробку даних, в якій зазначено, де обробляються персональні дані.

Можливо. GDPR вимагає чіткої інформації про те, як використовуються персональні дані. Вам потрібна можливість відключити навчання, якщо ви працюєте з конфіденційним контентом або європейськими клієнтами.

Ви повинні зафіксувати правову основу, спосіб інформування учасників, місце зберігання даних та термін, протягом якого ви плануєте зберігати записи.

Тільки доти, доки вони потрібні для чіткої мети. Ви повинні встановити правила зберігання та видаляти записи, коли вони більше не потрібні.

Хостинг в ЄС, контроль над видаленням даних, налаштування зберігання, чіткі політики навчання штучного інтелекту та доступна угода про обробку даних значно полегшують використання, що відповідає вимогам GDPR.

Так, tl;dv вимогам GDPR. Він надає користувачам можливості зберігання даних в ЄС, публікує чітку Угоду про обробку даних, забезпечує детальний контроль зберігання даних і дозволяє відключити навчання штучного інтелекту на основі вмісту зустрічей. Він також розкриває інформацію про всіх субпідрядників і дотримується суворих стандартів безпеки, щоб команди могли записувати та обробляти зустрічі відповідно до вимог GDPR.