5 otázek, které byste měli položit své přepisovací službě
Nahrajete nahrávku, AI ji přepíše a o pár minut později máte svůj přepis. Proces se zdá jednoduchý – ale co se děje mezi nahráním a výsledkem? Kdo má přístup k vašim datům? Kde jsou uložena? A jsou vůbec někdy smazána?
Těchto pět otázek vám pomůže posoudit praktiky ochrany dat přepisovací služby, ještě než nahrajete důvěrný obsah.
Otázka 1: “Kde se má data zpracovávají a ukládají?”
Proč na tom záleží: místo zpracování určuje, kterému právnímu řádu vaše data podléhají. Servery v USA znamenají CLOUD Act a potenciální přístup úřadů bez příkazu soudu EU.
Mnoho přepisovacích služeb ukládá data v USA. To je z hlediska ochrany dat problematické: americký CLOUD Act umožňuje přístup úřadů a právní základ pro předávání dat mezi EU a USA byl opakovaně zrušen (Safe Harbor 2015, Privacy Shield 2020).
Dobrá odpověď: “Naše servery jsou v EU, provozované evropskou společností s certifikací ISO 27001.”
Špatná odpověď: “Používáme AWS/Google Cloud s regiony v EU.” (Stále americká společnost, stále CLOUD Act.)
Otázka 2: “Kdo může číst mé přepisy?”
Proč na tom záleží: pokud poskytovatel zpracovává vaše data v otevřeném textu, zaměstnanci, správci nebo útočníci si je mohou potenciálně prohlížet – i když to poskytovatel nezamýšlí.
Rozhodující otázka nezní, zda poskytovatel chce vaše data číst, ale zda to technicky může. Při šifrování na straně serveru drží klíč poskytovatel. Při šifrování na straně klienta drží klíč pouze uživatel.
Dobrá odpověď: “Vaše přepisy nemůžeme číst. Šifrování probíhá ve vašem prohlížeči a klíč máte pouze vy.”
Špatná odpověď: “Vaše data jsou soukromá a důvěrná. Vaše přepisy můžete zobrazit jen vy.” (Vyhýbavé – nic neříká o technickém přístupu.)
Otázka 3: “Co se stane s mými zvukovými soubory po přepisu?”
Proč na tom záleží: zvukové nahrávky, které po zpracování zůstávají na serverech, představují trvalé riziko útoku. Minimalizace dat není jen zásadou GDPR, ale i praktickou ochranou.
Některé služby ukládají původní nahrávky trvale. To odporuje zásadě GDPR o minimalizaci dat (čl. 5 odst. 1 písm. c) a zvyšuje plochu útoku: více uložených dat znamená více potenciálních škod v případě úniku.
Dobrá odpověď: “Původní nahrávky se po přepisu automaticky smažou. Uchovává se pouze zašifrovaná verze pro přehrávání.”
Špatná odpověď: “Své soubory můžete kdykoli smazat.” (Tedy: dokud je nesmažete, originály zůstávají na serveru.)
Otázka 4: “Používáte cookies nebo sledovací nástroje?”
Proč na tom záleží: cookies a trackery odhalují vzorce používání a mohou umožnit vyvozování závěrů o obsahu. Služba, která vkládá Google Analytics nebo Facebook Pixel, sdílí data o používání s americkými společnostmi.
Sledovací nástroje na přepisovacích platformách jsou obzvláště problematické: dokumentují, kdy jste nahráli, upravili a exportovali které soubory. V kombinaci s názvy souborů (které jsou u většiny služeb viditelné v otevřeném textu) to vytváří podrobný profil používání.
Dobrá odpověď: “Nepoužíváme žádné cookies ani sledovací nástroje. Ověřování probíhá přes bezpečné tokeny v prohlížeči.”
Špatná odpověď: “Používáme cookies v souladu s našimi zásadami cookies.” (Odkazuje na právní text místo na architektonická rozhodnutí.)
Otázka 5: “Používají se má data k tréninku modelů AI?”
Proč na tom záleží: pokud vaše nahrávky vstoupí do tréninku, stanou se součástí modelu – a tím potenciálně reprodukovatelnými ve výsledcích pro jiné uživatele. Smazání původních dat v tu chvíli už nepomůže.
Někteří poskytovatelé formulují své podmínky používání záměrně vágně: “Vaše data můžeme použít ke zlepšení našich služeb.” Při šifrování na straně klienta je trénink AI na uživatelských datech technicky nemožný – server vidí jen zašifrované bloby.
Dobrá odpověď: “Ne. Modely netrénujeme na datech zákazníků. Naše architektura to činí technicky nemožným.”
Špatná odpověď: “Ne.” (Bez technického vysvětlení – čistě otázka důvěry.)
Shrnutí
- Umístění: Společnost z EU s datovým centrem v EU a certifikací ISO 27001.
- Šifrování: Na straně klienta v prohlížeči, ne jen na straně serveru.
- Minimalizace dat: Originály se po zpracování mažou.
- Žádné cookies, žádné sledování: Vyloučeno na úrovni architektury, ne jen přes cookie banner.
- Žádný trénink AI: Technicky nemožný, ne jen slíbený.
Těchto pět otázek odděluje služby, které berou ochranu dat vážně, od těch, které ji jen inzerují. Rozdíl nespočívá v odpovědích – ale v architektuře, která za nimi stojí.