scryp
Všechny články
8 min čtení

GDPR a přepis: co musí firmy vědět

Kdo nahrává schůzky, přepisuje rozhovory nebo zpracovává diktování, zpracovává osobní údaje. Hlasy, jména, názory, někdy zdravotní údaje nebo obchodní tajemství – to vše spadá pod Obecné nařízení o ochraně osobních údajů (GDPR). Přesto mnoho firem používá přepisovací služby, aniž by znalo právní požadavky.

Tento článek vysvětluje, jaké povinnosti platí, kde se skrývají nejčastější chyby a jak používat přepis v souladu s ochranou soukromí.

Proč jsou zvukové nahrávky obzvláště citlivé

Zvukové nahrávky obsahují biometrické znaky (hlas), často jména a pravidelně citlivé informace. V Německu je neveřejně pronesené slovo navíc chráněno § 201 trestního zákoníku a v Rakousku § 120 trestního zákoníku. Nahrávka pořízená bez vědomí zúčastněných tak může být trestným činem.

GDPR klasifikuje zpracování zvukových dat jako zpracování osobních údajů podle čl. 4 odst. 2. To znamená: každá nahrávka, uložení a přepis potřebují právní základ.

Právní základy pro přepis

Nejbezpečnějším právním základem pro přepisy je výslovný souhlas všech stran podle čl. 6 odst. 1 písm. a) GDPR. Alternativy jako oprávněný zájem nebo plnění smlouvy lze v praxi prosadit jen obtížně, protože soudy považují ruční zápis za méně invazivní možnost.

Čl. 6 odst. 1 GDPR uvádí několik možných právních základů. Pro přepisy jsou relevantní tři:

  • Souhlas (čl. 6 odst. 1 písm. a) – Nejbezpečnější základ. Všechny strany musí být před nahráváním informovány a aktivně souhlasit. Souhlas musí být svobodný, informovaný a odvolatelný.
  • Oprávněný zájem (čl. 6 odst. 1 písm. f) – Teoreticky možný, v praxi obtížný. Soudy a úřady pro ochranu dat argumentují, že ruční zápis je méně invazivní možností.
  • Plnění smlouvy (čl. 6 odst. 1 písm. b) – Obhajitelné jen ve výjimečných případech, například když je přepis výslovně součástí smlouvy.

Praktické doporučení: Vždy získejte výslovný souhlas. U schůzek by se to mělo udělat písemně v pozvánce a ústně na začátku.

Zvláštní kategorie: zdravotní údaje a další

Pokud nahrávky obsahují zdravotní údaje (lékařské diktování), členství v odborech nebo náboženské přesvědčení, platí čl. 9 GDPR. Tyto zvláštní kategorie vyžadují výslovný souhlas – tichý souhlas nestačí.

Povinnosti transparentnosti: co musíte sdělit

Čl. 13 a 14 GDPR vyžadují, aby firmy před nahráváním komplexně informovaly subjekty údajů:

  • Že nahrávání a přepis probíhají, a za jakým účelem
  • Jak dlouho se nahrávky a přepisy uchovávají
  • Kdo získá přístup k datům (interně i externě)
  • Zda se používá externí poskytovatel (přepisovací služba)
  • Jaká práva subjekty údajů mají (přístup, výmaz, námitka)

Problém s cloudovými přepisovacími službami

Mnoho nástrojů pro přepis zpracovává zvuk na serverech mimo EU. To je z hlediska ochrany dat problematické:

  • Předávání do třetích zemí: Bez odpovídající úrovně ochrany (rozhodnutí o odpovídající ochraně, standardní smluvní doložky) je předání nezákonné.
  • Zpracování pro správce: Přepisovací služba je zpracovatelem podle čl. 28 GDPR – smlouva o zpracování osobních údajů (DPA) je povinná.
  • Přístup poskytovatele: Při zpracování na straně serveru má poskytovatel přístup k otevřenému textu – riziko, které mnoho firem podceňuje.

Nejbezpečnější řešení: šifrování na straně klienta

Šifrování na straně klienta je nejsilnější technickou ochranou podle čl. 32 GDPR. Zvukové soubory se šifrují v prohlížeči, ještě než se dostanou na server. I v případě úniku dat u poskytovatele jsou data bez klíče uživatele bezcenná.

Při šifrování na straně klienta se zvukové soubory šifrují v prohlížeči, ještě než se dostanou na server. I přepis se ukládá šifrovaně – ani poskytovatel nemůže uložený obsah přečíst.

Pro GDPR to znamená: i v případě úniku dat u poskytovatele jsou data bezcenná, protože je bez klíče uživatele nelze dešifrovat. Je to nejsilnější technické opatření podle čl. 32 GDPR.

Checklist pro přepis v souladu s ochranou soukromí

  • Získejte souhlas všech stran před nahráváním
  • Zdokumentujte účel a dobu uchovávání
  • Uzavřete s poskytovatelem smlouvu o zpracování osobních údajů
  • Zkontrolujte, kde se data zpracovávají a ukládají (EU vs. třetí země)
  • Zajistěte šifrování – ideálně na straně klienta
  • Definujte koncept výmazu: kdy se nahrávky a přepisy mažou?
  • Zaručte práva subjektů údajů (přístup, výmaz, námitka)
  • Veďte záznamy o činnostech zpracování podle čl. 30 GDPR

Závěr

Přepis bez ochrany dat je právní riziko. GDPR klade jasné požadavky na souhlas, transparentnost a technické ochrany. Firmy, které zpracovávají zvukové nahrávky, by měly svou přepisovací službu pečlivě prověřit – zejména to, zda má poskytovatel přístup k otevřenému textu a kde se data ukládají.

Poznámka: Tento článek slouží k obecným informačním účelům a nenahrazuje právní poradenství v konkrétních případech.

GDPR a přepis: co musí firmy vědět