Näkökulmia

GDPR ja kokoustyökalut: Missä datasi säilytetään?

Useimmat kokousnauhoitustyökalut käsittelevät ääntäsi Yhdysvalloissa. Tässä on, mitä se tarkoittaa GDPR-vaatimustenmukaisuudelle ja mitä vaihtoehtoja on olemassa.

GDPRprivacydata residencymeeting toolscompliance

Painat nauhoitusta kokouksen alussa. Kollega jakaa asiakkaan puhelinnumeron. Joku mainitsee työntekijän terveystilanteen. Osallistuja keskustelee meneillään olevasta sopimuksesta tunnistettavilla yksityiskohdilla. Minuuttien sisällä kokousnauhoituksesi sisältää henkilötietoja — nimiä, mielipiteitä, mahdollisesti arkaluonteista tietoa — kaikki tallennettuna äänitiedostoon.

Minne se tiedosto menee?

Useimpien kokousnauhoitustyökalujen kohdalla vastaus on: palvelimelle Yhdysvalloissa. Eurooppalainen kokouksesi, eurooppalaisten osallistujien keskustellessa eurooppalaisista liiketoimintakysymyksistä, käsitellään yhdysvaltalaisilla palvelimilla yhdysvaltalaisen lainkäyttövallan alla. GDPR:n mukaan tämä ei ole pieni tekninen yksityiskohta. Se on vaatimustenmukaisuuskysymys, jonka monet organisaatiot sivuuttavat.

Datavirran ongelma

Miten useimmat kokoustyökalut toimivat

Tyypillinen datavirta: ääni tallennetaan, ladataan työkalun palvelimille, litteroidaan (usein kolmannen osapuolen tekoälyllä), tallennetaan, saatetaan säilyttää toistaiseksi, ja saatetaan käyttää mallien kouluttamiseen.

Missä suositut työkalut säilyttävät dataa

Otter.ai — yhdysvaltalainen. Fireflies.ai — yhdysvaltalainen. Fathom — yhdysvaltalainen. Microsoft Teams — voi sisältää EU-datakeskuksia EU-asiakkaille, mutta vaihtelee. Google Meet — voi reitittää dataa USA-palvelimien kautta. Proudfrog — kaikki data käsitellään ja säilytetään Ruotsissa. Ääni ei koskaan poistu EU:sta.

Mitä GDPR todella vaatii

Laillinen peruste käsittelylle

Yleisimmät perusteet: oikeutettu etu (artikla 6(1)(f)) tai suostumus (artikla 6(1)(a)). Oikeutettu etu on yleensä vahvempi liikekokouksille.

Datan siirron rajoitukset

GDPR:n luku V rajoittaa siirtoja EU:n/ETA:n ulkopuolelle. EU-US Data Privacy Framework tarjoaa mekanismin, mutta sen pitkän aikavälin vakaus on epävarma. Yksinkertaisin tapa: käytä työkaluja, jotka käsittelevät dataa EU:n sisällä.

Datan minimointi ja oikeus tulla unohdetuksi

GDPR vaatii, että käsittelet vain tarvitsemaasi dataa ja säilytät sitä vain niin kauan kuin on tarpeen. Kokousosallistujilla on oikeus pyytää poistoa.

Käytännön seuraukset

Pienille yrityksille

Jos käytät Otter.ai:ta tai Fireflies-palvelua, siirrät todennäköisesti henkilötietoja Yhdysvaltoihin ilman riittäviä suojatoimia. Pohjoismaisten tietosuojaviranomaisten valvonta on tiukentunut.

Säännellyille toimialoille

Terveydenhuolto, rahoitus, oikeudelliset palvelut, julkinen sektori — kokousnauhoitukset sisältävät rutiininomaisesti arkaluonteisia henkilötietoja.

Organisaatioille, joilla on kansainvälisiä asiakkaita

Kokousnauhoitustyökalusi on alikäsittelijä, ja sen datankäsittely vaikuttaa vaatimustenmukaisuusasemaasi.

Mitä sinun tulisi tehdä

  1. Auditoi nykyiset työkalusi — missä dataa käsitellään?
  2. Arvioi EU-pohjaisia vaihtoehtoja — Proudfrog käsittelee ja tallentaa kaiken datan Ruotsissa.
  3. Toteuta nauhoituskäytännöt — milloin, miten, laillinen peruste, säilytysaika.
  4. Ilmoita osallistujille — "Nauhoitan kokouksen litterointia varten — nauhoitus pysyy EU:ssa."

Proudfrogin lähestymistapa

  • Kaikki data Ruotsissa. Äänitiedostot, litteroinnit, tietopohja — kaikki.
  • Ei Yhdysvaltain siirtoja.
  • Ei mallien koulutusta.
  • Täydellinen poisto pyydettäessä.
  • Maksu käytön mukaan. 0,36 € per äänitunti, ei tilausta.

Lue tietosuojakäytäntömme.

Eteenpäin

GDPR-vaatimustenmukaisuus kokoustyökaluille ei ole valinnaista. Pohjoismaiden trendi on kohti tiukempaa tulkintaa ja suurempia sakkoja. EU-pohjaisia vaihtoehtoja on olemassa, ja ne toimivat hyvin.

Lataa Proudfrog iOS:lle tai lue macOS-sovelluksesta.

Usein kysytyt kysymykset

Koskeeko GDPR sisäisiä kokouksia?

Kyllä. GDPR koskee kaikkea henkilötietojen käsittelyä, mukaan lukien sisäiset kokoukset.

Vaaditaanko suostumus aina kokousten nauhoittamiseen GDPR:n mukaan?

Ei. Oikeutettu etu (artikla 6(1)(f)) on usein sopivampi, erityisesti työsuhteessa.

Mitä tapahtuu, jos kokousosallistuja pyytää tietojensa poistamista?

Sinun on noudatettava pyyntöä, ellei poikkeus päde. Proudfrog tukee datan poistoa.

Ovatko kokousnauhoitukset "erityisiä tietoryhmiä"?

Eivät oletuksena, mutta ne voivat olla, jos keskustelussa paljastuu terveystietoja, poliittisia mielipiteitä tai muita artikla 9:n kategorioita.

Voinko käyttää yhdysvaltalaista kokoustyökalua, jos saan osallistujien suostumuksen?

Suostumus nauhoitukseen on erillinen suostumuksesta kansainväliseen datan siirtoon. Nauhoitussuostumuksenkin kanssa tarvitset pätevän siirtomekanismin.

Miten Proudfrog käsittelee dataa kokouksista, joissa on osallistujia useista maista?

Proudfrog tallentaa kaiken datan Ruotsissa osallistujien sijainnista riippumatta. Rajat ylittävää siirtoa ei ole käsiteltävänä Proudfrogin puolella.