GDPR и запись встреч: практическое руководство по соблюдению требований для команд в ЕС

Запись звонка в Google Meet кажется безобидной. Вы нажимаете запись, транскрипция создается автоматически, а резюме попадает в ваш почтовый ящик. Согласно Общему регламенту по защите данных (GDPR), эта запись становится персональными данными в тот момент, когда названный или идентифицируемый человек говорит, появляется на камере или фигурирует в транскрипции. С этого момента ваша команда обрабатывает персональные данные, и регулирование применяется в полной мере.

GDPR не запрещает запись встреч. Он требует от вас четырех вещей: иметь законное основание для записи, четко информировать людей, хранить файл только столько, сколько необходимо, и уважать права всех, кто попал в запись. Это руководство объясняет запись встреч в соответствии с GDPR простым языком для команд в ЕС и Великобритании, с рабочим процессом, который можно реализовать в Google Meet.

Для более широкого контекста см. наш гид по безопасности записей Google Meet. Если вы также работаете с медицинскими данными, дополните это нашим руководством по записи встреч в соответствии с HIPAA.

Что GDPR означает для записи встреч

GDPR применяется, когда организация обрабатывает персональные данные людей в ЕС или Великобритании, независимо от того, где находится сама компания. Запись встречи — это персональные данные, потому что она почти всегда содержит:

• Лицо, голос и имя человека
• Мнения, комментарии о производительности или детали о здоровье и кадровых вопросах, озвученные вслух
• Демонстрацию экрана с записями клиентов, электронными письмами или дашбордами
• Транскрипции и резюме, созданные ИИ на основе аудио

Поскольку голоса и лица могут идентифицировать человека, видеозапись может даже включать специальные категории данных (например, информацию, раскрывающую здоровье, религию или членство в профсоюзе), как только такая тема поднимается. Это значительно повышает требования.

Регламент устанавливает основные принципы, которые должен соблюдать каждый процесс записи:

Сама запись редко является проблемой. Хранение в личном хранилище, слишком широкий доступ или вечное хранение — вот где организации попадают в беду.

Нужно ли согласие для записи встречи по GDPR?

Это самый распространенный вопрос, и честный ответ удивляет многих: согласие часто не является лучшим основанием для записи деловой встречи.

GDPR предоставляет шесть законных оснований для обработки персональных данных. Для записи встреч наиболее важны три.

Выбор законного основания

• Законные интересы. Гибкий вариант по умолчанию для внутренних записей. Вы можете записать тренинг или стартовую встречу проекта, потому что ваша организация имеет обоснованный интерес в сохранении точной записи, при условии, что этот интерес не перевешивает права на приватность участников. Вы должны задокументировать краткий анализ, который взвешивает вашу потребность против их ожиданий.
• Согласие. Подходит, когда запись действительно необязательна, и люди могут отказаться без негативных последствий. Согласие по GDPR должно быть добровольным, конкретным, информированным и так же легко отозванным, как и данным. Предварительно отмеченные галочки и баннеры “участвуя, вы соглашаетесь” обычно не соответствуют этому стандарту сами по себе.
• Договор. Полезен, когда запись необходима для предоставления услуги, которую запросил человек, например, записанного коучингового звонка, на который он подписался.

Когда согласие — правильный выбор

Согласие — самый безопасный вариант, когда есть дисбаланс власти или запись не строго необходима. Несколько примеров, когда стоит спросить заранее и принять “нет”:

• Запись индивидуальной встречи с подчиненным, где сказать “нет” руководителю сложно
• Запись внешнего клиента, который не ожидал быть записанным
• Запись вебинара, где участники могут выбрать отключение камеры

Если вы полагаетесь на законные интересы вместо согласия, вы все равно должны быть прозрачны. Люди должны знать, что идет запись, почему и как возразить. Четкое устное уведомление в начале звонка и строка в приглашении в календаре покрывают большинство ситуаций.

Запись встреч без согласия: где команды ошибаются

Поисковые запросы “GDPR запись встреч без согласия” обычно исходят из реального беспокойства: кто-то записал звонок, и теперь команда не уверена, было ли это разрешено. Вот как в этом разобраться.

Запись без явного согласия может быть законной, если вы полагаетесь на другое основание, такое как законные интересы, и вы были прозрачны в этом. Что редко можно оправдать — это тайная запись. Скрытая запись лишает человека возможности возразить, что нарушает принцип справедливости и прозрачности, лежащий в основе GDPR.

Распространенные ошибки, превращающие обычную запись в жалобу:

• Полное отсутствие уведомления. Начало записи без предупреждения и последующая отправка файла.

• Скрытое уведомление. Строка о согласии, спрятанная в политике конфиденциальности, которую никто не читает, используется как прикрытие для неожиданной записи.

• Расширение цели. Запись встречи для заметок, а затем использование ее для оценки производительности или дисциплинарного дела, для которого она не предназначалась.

• Избыточный доступ. Отправка записи людям, которых не было на звонке и которым она не нужна.

Решение — процесс, а не паника. Объявляйте о записи каждый раз, записывайте свое законное основание, ограничивайте доступ к файлу и никогда не используйте запись для чего-то, о чем не упоминалось в исходном уведомлении.

Права субъектов данных, применимые к записям

Как только запись существует, люди в ней получают права, которые вы должны уважать. Основные права для записей встреч:

• Право доступа. Участник может запросить копию записи или транскрипции, где он фигурирует. Вы должны уметь найти ее и, по возможности, скрыть других людей.
• Право на удаление. Часто называемое правом на забвение. Если вашим основанием было согласие и кто-то его отозвал, или запись больше не нужна, вам, возможно, придется ее удалить.
• Право на возражение. Когда вы полагаетесь на законные интересы, человек может возразить против обработки, и вы должны остановиться, если у вас нет веских причин продолжать.
• Право на исправление. Если транскрипция неправильно приписывает цитату или содержит ошибку о человеке, он может попросить вас исправить это.

Эти права гораздо легче соблюдать, когда записи хранятся в одном организованном, доступном для поиска месте, а не разбросаны по личным хранилищам и чатам. Рабочий процесс, который сохраняет файлы в контролируемом общем рабочем пространстве, как описано в нашем руководстве по хранению записей Google Meet, превращает стрессовый запрос данных в двухминутную задачу.

Правила хранения записей встреч по GDPR

GDPR не устанавливает фиксированного количества дней. Принцип ограничения хранения гласит, что вы храните персональные данные только столько, сколько требует цель, а затем удаляете их. Таким образом, правило просто сформулировать и легко нарушить: определите срок хранения заранее, запишите его и автоматизируйте удаление.

Разумные стандартные сроки, которые большинство команд в ЕС и Великобритании могут обосновать:

Избегайте “хранить все вечно”. Архив ненужных записей — это чистый риск: больше данных для защиты, больше для раскрытия в запросе доступа и больше для потери в случае утечки. Установите стандартное окно удаления, задокументируйте исключения и проверяйте архив по расписанию.

Попробуйте Record Meeting

Записывайте Google Meet прямо из браузера без добавления бота на звонок. Записи, транскрипции и резюме остаются в вашем Google Workspace, так что вы контролируете доступ и хранение.

Начать бесплатно

Рабочий процесс записи встреч, соответствующий GDPR

Вам не нужен юридический отдел для соблюдения требований. Вам нужен повторяемый рабочий процесс. Вот тот, который напрямую соответствует принципам GDPR, описанным выше.

1. Определите законное основание до записи. Для большинства внутренних встреч это законные интересы с кратким анализом, сохраненным в файле. Для необязательных или чувствительных звонков запросите согласие.
2. Объявляйте о записи в начале каждый раз. Скажите, что записываете, почему, как долго храните и как можно возразить. Скажите это вслух и добавьте строку в приглашение.
3. Храните записи в контролируемом рабочем пространстве. Сохраняйте файлы в выделенном общем хранилище с доступом на основе ролей. Запретите доступ “все, у кого есть ссылка” и требуйте строгой аутентификации.
4. Минимизируйте объем записи. Останавливайте запись, когда основная часть встречи заканчивается. Избегайте записи случайных разговоров или демонстраций экрана с посторонними персональными данными.
5. Установите срок хранения и автоматизируйте удаление. Отмечайте каждую запись датой удаления и позволяйте запланированной задаче очищать архив.
6. Логируйте доступ и будьте готовы к запросам. Ведите простой учет, кто может открывать записи, чтобы быстро отвечать на запросы доступа или удаления.

Применяйте это одинаково каждый раз, и ваша подотчетность будет очевидна.

Особые случаи: Teams, UK GDPR и ИИ-транскрипции

Запись встреч в Teams по GDPR. Платформа ничего не меняет в законе. Записываете ли вы в Google Meet, Zoom или Microsoft Teams, применяются те же законные основания, прозрачность и правила хранения. Важно, где окажется файл и кто его контролирует.

UK GDPR. После Brexit Великобритания сохранила GDPR почти дословно как UK GDPR, исполняемый Управлением по защите информации (ICO). Для записи встреч практические правила фактически те же, что и в ЕС, поэтому одна политика может охватывать обе юрисдикции, если вы укажете правильного регулятора и меры защиты трансграничных передач.

ИИ-транскрипции и резюме. Транскрипция — это все еще персональные данные, а инструмент, который ее создает, обрабатывает их от вашего имени. Проверьте, действует ли поставщик как обработчик по соглашению об обработке данных, где обрабатываются данные и используется ли ваш контент для обучения моделей. Наше руководство по ИИ-заметкам охватывает хорошие практики, применимые и в регулируемых средах. Хранение записей и транскрипций в вашем Google Workspace, а не в облаке стороннего поставщика, устраняет целый слой этого риска.

Для человеческой стороны всего этого наше руководство по этикету записи удаленных встреч хорошо дополняет юридические правила здесь.

Часто задаваемые вопросы

Итог

Запись встреч по GDPR сводится к короткому чек-листу, который можно применять к каждому звонку: выберите законное основание, четко сообщите людям, записывайте только необходимое, храните безопасно и удаляйте по расписанию. Сделайте эти пять вещей правильно, и запись станет настоящим активом: лучшие заметки, меньше споров “о чем мы договорились” и быстрая адаптация новых сотрудников без риска нарушения.

Самый простой способ оставаться в соответствии с требованиями — хранить записи, транскрипции и резюме в инфраструктуре, которую вы уже контролируете. Проверьте свою настройку по обзору безопасности Record Meeting, наведите порядок в разрешениях общего хранилища на этой неделе и запишите срок хранения перед следующим записанным звонком.