scryp
Všechny články
7 min čtení

Proč by vaše přepisy měly zůstat v EU

Zvukové nahrávky schůzek, rozhovorů nebo diktování téměř vždy obsahují osobní údaje – hlasy, jména, názory, někdy zdravotní údaje nebo obchodní tajemství. Přesto většina přepisovacích služeb tato data zpracovává na serverech ve Spojených státech.

Pro evropské firmy, advokátní kanceláře, lékařské praxe a úřady to není jen teoretické riziko – je to hmatatelný problém ochrany dat. Tento článek vysvětluje, proč je místo zpracování dat rozhodující a na co byste si měli dát pozor.

Problém se servery v USA

Evropská data na serverech v USA podléhají americkému CLOUD Actu. Americké úřady mohou požadovat jejich zpřístupnění – i bez příkazu evropského soudu. To přímo odporuje GDPR a potvrdil to rozsudek Soudního dvora EU ve věci Schrems II.

Americký CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) umožňuje úřadům USA požadovat zpřístupnění dat od amerických společností – bez ohledu na to, ve které zemi se servery nacházejí. Přepisovací služba se sídlem v USA podléhá tomuto zákonu, i když provozuje datová centra v Evropě.

Rozsudek Schrems II Soudního dvora Evropské unie (věc C-311/18, červenec 2020) potvrdil, že USA neposkytují odpovídající úroveň ochrany dat ve smyslu GDPR. Privacy Shield byl prohlášen za neplatný. EU-US Data Privacy Framework (DPF) z roku 2023 má problém vyřešit, ale již čelí právnímu napadení.

Pro firmy to znamená: kdo předá zvukové nahrávky obsahující osobní údaje americké službě, nese riziko, že právní základ pro předání dat opět zmizí.

Co vlastně znamená “data v EU”

Ne každá služba, která inzeruje “datová centra v EU”, nabízí skutečnou datovou suverenitu. Rozhodující jsou tři body:

  • Sídlo společnosti: Americká společnost se servery v EU stále podléhá CLOUD Actu. Pouze společnost se sídlem v EU plně podléhá evropskému právu.
  • Provozovatel infrastruktury: Kdo fyzicky provozuje servery? Evropský hostitel jako Hetzner podléhá výhradně evropskému právu. AWS, Google Cloud nebo Azure – i s regiony v EU – jsou americké společnosti.
  • Certifikace: ISO 27001 je mezinárodní standard pro systémy řízení bezpečnosti informací. Potvrzuje, že provozovatel datového centra zavedl systematická ochranná opatření pro důvěrnost, integritu a dostupnost.

Proč Hetzner jako datové centrum

scryp zpracovává a ukládá veškerá data výhradně u Hetzneru v Německu. Je to záměrné architektonické rozhodnutí:

  • Certifikováno dle ISO/IEC 27001 – Systém řízení bezpečnosti informací je pravidelně auditován nezávislými auditory.
  • 100% německá společnost – Žádná mateřská společnost v USA, žádný přístup podle CLOUD Actu. Hetzner podléhá výhradně německému a evropskému právu.
  • Geograficky redundantní datová centra v Německu – Vaše data nikdy neopustí EU.
  • Vlastní hardware – Hetzner provozuje vlastní servery a síťovou infrastrukturu. Žádná závislost na amerických hyperscalerech.

Rakouská společnost, evropské hodnoty

scryp je rakouská společnost. Celý náš tým, vedení i právní struktura se nacházejí v EU. To znamená:

  • Podléháme výhradně evropskému právu – GDPR, DSG (Rakousko), žádný CLOUD Act.
  • Žádná mateřská společnost v USA nemůže být donucena ke zpřístupnění dat.
  • Naše zásady ochrany osobních údajů se řídí rakouským a evropským právem – ne zákony o ochraně dat Kalifornie nebo Delawaru.

Šifrování jako dodatečná ochrana

Samotné umístění serveru nestačí. I na serverech v EU mohou být data kompromitována – hackerskými útoky, interním přístupem nebo technickými chybami. Proto scryp kombinuje umístění v EU se šifrováním na straně klienta:

  • Zvuk je zašifrován v prohlížeči, ještě než se dostane na server.
  • Přepisy se ukládají šifrovaně– server nikdy nevidí otevřený text.
  • I v případě úniku dat by data byla bez osobního klíče uživatele bezcenná.

To je rozhodující rozdíl oproti službám, které inzerují “AES-256 at rest”, ale zpracovávají otevřený text na serveru, kde si jej mohou potenciálně prohlížet.

Checklist: datová suverenita u přepisovacích služeb

  • Kde má společnost sídlo? (EU vs. USA)
  • Kdo provozuje servery? (hostitel v EU vs. hyperscaler v USA)
  • Je datové centrum certifikováno dle ISO 27001?
  • Podléhá poskytovatel americkému CLOUD Actu?
  • Jsou data šifrována na straně klienta, nebo jen na straně serveru?
  • Jsou původní nahrávky po zpracování smazány?
  • Existuje smlouva o zpracování osobních údajů (DPA) podle čl. 28 GDPR?

Závěr

Místo zpracování dat není marketingový detail – určuje, kterému právnímu řádu vaše data podléhají. Pro evropské firmy je kombinace poskytovatele se sídlem v EU, datového centra v EU s certifikací ISO 27001 a šifrování na straně klienta nejbezpečnějším způsobem, jak zpracovávat zvuková data v souladu s ochranou soukromí. Kdo tuto ochranu nenabízí, přenáší riziko na vás.

Proč by vaše přepisy měly zůstat v EU