GDPR会议录制:欧盟团队合规实践指南
GDPR会议录制的实际运作方式。合法依据、同意规则、数据主体权利及在欧盟和英国录制Google Meet通话的保留期限。
录制Google Meet通话看似无害。点击录制按钮,文字记录自动生成,摘要发送至收件箱。根据《通用数据保护条例》(GDPR),当指名或可识别身份的人发言、出现在镜头中或出现在文字记录中时,该录制内容即成为个人数据。从那一刻起,您的团队就在处理个人数据,条例完全适用。
GDPR并未禁止会议录制。它要求您做好四件事:拥有合法的录制理由、明确告知参与者、仅在需要时保留文件、尊重被录制者的权利。本指南以通俗语言为欧盟和英国团队解释GDPR会议录制,并提供可在Google Meet上实际运行的工作流程。
如需更广泛背景,请参阅我们的Google Meet录制安全指南。若您还处理健康数据,请结合我们的HIPAA合规会议录制指南阅读。
GDPR对会议录制的意义
只要组织处理欧盟或英国境内人员的个人数据,无论公司位于何处,GDPR均适用。会议录制属于个人数据,因为它几乎总是包含:
- 个人的面部、声音和姓名
- 口头表达的观点、绩效评论或健康与人力资源细节
- 屏幕共享显示的客户记录、电子邮件或仪表板
- 基于音频生成的AI文字记录和摘要
由于声音和面部可识别个人身份,当涉及特定话题时,视频录制甚至可能包含特殊类别数据(例如揭示健康状况、宗教信仰或工会会员身份的信息)。这会显著提高合规要求。
条例规定了每个录制流程必须遵守的核心原则:
| GDPR原则 | 对录制的意义 |
|---|---|
| 合法性、公平性、透明性 | 需要合法理由且必须告知参与者正在录制 |
| 目的限制 | 为声明目的录制,而非”以备后用” |
| 数据最小化 | 仅捕获目的所需内容 |
| 存储限制 | 目的达成后删除文件 |
| 完整性与保密性 | 通过访问控制和加密保护录制内容 |
| 问责制 | 能够书面证明遵守了上述所有原则 |
录制本身很少是问题。将录制内容存储在个人驱动器、过度共享或永久保留才是组织陷入麻烦的原因。
GDPR下录制会议是否需要同意?
这是最常见的问题,而诚实的答案令人惊讶:同意通常不是录制商务会议的最佳依据。
GDPR提供了六种处理个人数据的合法依据。对于会议录制,以下三种最为重要。
选择合法依据
- 合法利益。 内部业务录制的灵活默认选项。您可以录制培训课程或项目启动会议,因为组织有保留准确记录的正当利益,只要该利益不凌驾于相关人员的隐私权之上。您必须记录简短的平衡测试,权衡您的需求与他们的期望。
- 同意。 适用于录制真正可选且参与者可无不利后果拒绝的情况。GDPR下的同意必须自由给出、具体、知情,且撤销与给予同样容易。预勾选框和”加入即同意”横幅通常单独无法满足标准。
- 合同。 当录制是提供个人请求的服务(如他们报名参加的记录辅导电话)所需时有用。
当同意是正确依据时
在权力不对等或录制非绝对必要的情况下,同意是最安全的选择。以下应事先询问并接受”不”的示例:
- 录制与直接下属的一对一会议,此时向经理说不很困难
- 录制未预料会被记录的外部客户
- 捕获可选择关闭摄像头的网络研讨会
若依赖合法利益而非同意,您仍需保持透明。参与者必须知道录制正在进行、原因及如何反对。通话开始时的清晰口头通知加上日历邀请中的一行说明可覆盖大多数情况。
"本次通话正在被录制以便团队之后回顾行动项。录制内容将在我们的共享工作区保留90天,之后会被删除。如果您不希望被录制,请现在告知,我将停止。"
未经同意录制会议:团队常犯错误
搜索”GDPR未经同意录制会议”通常源于真实担忧:有人录制了通话,团队现在不确定是否允许。以下是思考方式。
若依赖其他依据(如合法利益)且您对此透明,未经明确同意的录制可能是合法的。很少能辩护的是秘密录制。隐蔽录制剥夺了个人反对的机会,违反了GDPR核心的公平与透明原则。
将常规录制变成投诉的常见错误:
- 完全无通知。 未告知任何人即开始录制,之后分享文件。
- 隐藏通知。 将同意条款藏在无人阅读的隐私政策中,作为意外录制的掩护。
- 功能蔓延。 为做笔记录制会议,之后将其用于绩效评估或纪律案例等非原定目的。
- 过度分享。 将录制内容发送给未参与通话且无需查看的人。
解决方法是流程而非恐慌。每次宣布录制,写下合法依据,限制可打开文件的人员,绝不将录制内容用于原始通知未提及的用途。
适用于录制的数据主体权利
一旦录制存在,其中的人即获得您必须能够尊重的权利。会议录制的重要权利:
- 访问权。 参与者可要求获取包含他们的录制或文字记录副本。您需要能够找到它,并尽可能编辑其他人。
- 擦除权。 常被称为被遗忘权。若您的依据是同意且有人撤回,或录制不再需要,您可能必须删除它。
- 反对权。 当您依赖合法利益时,个人可反对处理,您必须停止,除非有 compelling grounds继续。
- 更正权。 若文字记录错误引用或包含关于个人的错误,他们可要求您更正。
当录制内容位于一个有组织、可搜索的位置而非分散在个人驱动器和聊天线程中时,满足这些权利要容易得多。如我们的Google Meet录制保存位置指南所述,将文件存储在受控共享工作区的流程可将紧张的数据请求转化为两分钟的任务。
会议录制的GDPR保留规则
GDPR未设定固定天数。存储限制原则规定您仅在目的需要时保留个人数据,之后删除。因此规则简单陈述却易违反:预先决定保留期限,书面记录,并自动化删除。
大多数欧盟和英国团队可证明合理的默认设置:
| 录制类型 | 典型保留期 | 原因 |
|---|---|---|
| 内部站会或状态通话 | 30至90天 | 行动项快速捕获,视频长期价值低 |
| 项目启动或培训 | 6至12个月 | 对项目期间新成员入职有用 |
| 客户或销售通话 | 合同期限加短缓冲期 | 与服务和证据提供相关 |
| 人力资源或纪律录制 | 根据HR保留政策和地方法律 | 通常更短且严格访问控制 |
避免”永久保留一切”。不需要的录制存档是纯粹的负担:更多数据需保护,更多需在访问请求中披露,更多在泄露中丢失。设定默认删除窗口,记录例外情况,并按计划审查存档。
尝试Record Meeting
符合GDPR的会议录制工作流程
您不需要法律团队即可运行合规流程。您需要一个可重复的工作流程。以下是直接映射上述GDPR原则的流程。
- 录制前决定合法依据。 对于大多数内部会议,这是带有保存在文件中的一段平衡说明的合法利益。对于可选或敏感通话,请求同意。
- 每次开始时宣布录制。 说明录制内容、原因、保留时长及如何反对。口头声明并在邀请中添加一行说明。
- 将录制内容保存在受控工作区。 将文件存储在具有基于角色访问权限的专用共享驱动器中。阻止”任何有链接的人”共享并要求强认证。
- 最小化捕获内容。 会议实质性部分结束时停止录制。避免录制无关个人数据的闲聊或屏幕共享。
- 设定保留期限并自动化删除。 为每个录制标记删除日期,并让计划任务清理存档。
- 记录访问并准备响应请求。 简单记录可打开录制的人员,以便快速响应访问或擦除请求。
每次以相同方式运行此流程,您的问责故事自然形成。
特殊情况:Teams、英国GDPR和AI文字记录
GDPR下录制Teams会议。 平台不改变法律。无论您在Google Meet、Zoom还是Microsoft Teams中录制,相同的合法依据、透明性和保留规则均适用。重要的是文件最终位置及谁控制它。
英国GDPR。 脱欧后,英国几乎逐字保留GDPR作为英国GDPR,由信息专员办公室(ICO)执行。对于会议录制,实际规则与欧盟版本基本相同,因此只要命名正确的监管机构和任何跨境传输保障措施,单一政策可覆盖两者。
AI文字记录和摘要。 文字记录仍是个人数据,生成它的工具代表您进行处理。检查提供商是否作为数据处理者根据数据处理协议行事、数据处理地点及您的内容是否用于训练模型。我们的AI会议笔记指南涵盖了在受监管环境中也适用的良好实践。将录制内容和文字记录保留在您自己的Google Workspace中,而非单独的供应商云中,可消除这一风险的整个层面。
对于所有这些的人性化方面,我们的远程会议录制礼仪指南与此处的法律规则相得益彰。
常见问题
总结
GDPR会议录制归结为可在每次通话上运行的简短清单:选择合法依据、明确告知参与者、仅捕获所需内容、安全存储并按计划删除。做好这五件事,录制将成为真正的资产,更好的笔记、更少的”我们同意了什么”争论和更快的入职,而无需合规风险。
保持合规的最简单方法是将录制内容、文字记录和摘要保留在您已控制的基础设施中。根据Record Meeting安全概述检查您的设置,本周整理共享驱动器权限,并在下次录制通话前写下保留期限。
