Aplikacja do transkrypcji nagrywa Twoje spotkania. Kto jest administratorem danych i jakie są obowiązki?

Aplikacja do transkrypcji nagrywa Twoje spotkania. Kto jest administratorem danych i jakie są obowiązki?

Otter wszedł na spotkanie razem z Tobą. Fireflies zapisuje każde słowo. Microsoft Copilot generuje podsumowanie i wysyła wszystkim uczestnikom. Wszyscy są pod wrażeniem jak to działa. Mało kto pyta gdzie idą nagrania.


Spotkanie online stało się standardem pracy. Aplikacja do transkrypcji stała się standardem spotkania online.

Otter.ai. Fireflies. Microsoft Teams Copilot. Google Meet Smart Notes. Granola. Lista rośnie co kwartał. Mechanika jest podobna: bot dołącza do spotkania, nagrywa cały dźwięk, generuje transkrypcję i tworzy podsumowanie z punktami do działania.

Wygodne. Oszczędza godziny pisania notatek. I jednocześnie tworzy zestaw obowiązków RODO.


Co naprawdę robi aplikacja do transkrypcji

Zanim przejdziemy do prawa – warto zrozumieć co technicznie się dzieje.

Bot dołącza do spotkania jako uczestnik. Rejestruje cały dźwięk – Twój głos, głosy wszystkich pozostałych uczestników, dźwięki w tle. Plik audio jest przesyłany na serwery dostawcy aplikacji. Tam algorytm AI rozpoznaje mowę i tworzy transkrypcję. Inny algorytm analizuje treść i generuje streszczenie.

Wynik wraca do Ciebie jako użytkownika. Ale dane pozostają u dostawcy. Często długo. Często w celu trenowania kolejnych modeli AI. Często na serwerach poza Unią Europejską.

To wszystko dzieje się automatycznie. I to wszystko jest przetwarzaniem danych osobowych w rozumieniu RODO.


Głos to dane osobowe. Treść rozmowy też.

Głos osoby fizycznej jest danymi osobowymi – pozwala na identyfikację konkretnego człowieka. Treść rozmowy w spotkaniu biznesowym jest danymi osobowymi – zawiera imiona, nazwiska, stanowiska, opinie, decyzje, czasem dane wrażliwe.

Jeśli na spotkaniu rozmawiasz o kandydacie do pracy – przetwarzasz jego dane osobowe. Jeśli omawiasz problem zdrowotny pracownika – dane szczególnej kategorii. Jeśli prowadzisz rozmowę handlową z klientem – jego dane plus dane Twoich pracowników.

Wszystko to ląduje w transkrypcji. Wszystko trafia na serwery dostawcy. Wszystko podlega RODO.


Kto jest administratorem a kto podmiotem przetwarzającym

Administratorem danych jest firma która zdecydowała o celu i sposobie przetwarzania – czyli ta która używa aplikacji do transkrypcji w swojej działalności. Jeśli wdrażasz Otter w firmie żeby pracownicy mogli nagrywać spotkania – Twoja firma jest administratorem.

Dostawca aplikacji – Otter, Fireflies, Microsoft – jest co do zasady podmiotem przetwarzającym. Działa na Twoje zlecenie, przetwarza dane do celu który Ty wyznaczyłeś.

Z czego wynika konkretny obowiązek prawny: musisz mieć z dostawcą umowę powierzenia przetwarzania danych z art. 28 RODO. Nie domyślne warunki świadczenia usługi. Nie regulamin. Umowę powierzenia która spełnia wymogi RODO. Sprawdź czy ją masz. 


Najgorszy scenariusz: osoby na spotkaniu nie wiedzą że są nagrywane

Tu się robi naprawdę ciekawie.

Wyobraź sobie spotkanie. Trzy osoby z Twojej firmy. Klient. Bot do transkrypcji dołącza automatycznie bo masz włączoną integrację. Klient widzi że na liście uczestników jest "Notetaker" albo "Meeting Assistant" – ale nikt mu nie powiedział co to robi.

Z perspektywy RODO klient nie został poinformowany że jego głos i wypowiedzi są przetwarzane. Nie dostał klauzuli informacyjnej z art. 13. Nie wie kto jest administratorem i gdzie idą dane.

To jest naruszenie obowiązku informacyjnego.

W praktyce minimum to:

Informacja przed rozpoczęciem spotkania że będzie nagrywane i transkrybowane. Wskazanie kto jest administratorem danych i w jakim celu. Możliwość sprzeciwu – jeśli ktoś nie zgadza się na nagrywanie powinien móc poprosić o wyłączenie bota albo opuścić spotkanie bez konsekwencji. Klauzula informacyjna dostępna dla uczestników – mailem przed spotkaniem albo w opisie zaproszenia.

Najlepsza praktyka to ustne potwierdzenie na początku każdego spotkania: "Informuję że to spotkanie jest nagrywane i transkrybowane. Czy ktoś ma sprzeciw?"

Brzmi formalnie. Ale lepiej powiedzieć to przed niż tłumaczyć się przed UODO.


Gdzie idą Twoje dane

Większość popularnych aplikacji do transkrypcji – Otter, Fireflies, Granola – ma serwery w Stanach Zjednoczonych. Microsoft Copilot w zależności od planu może mieć serwery w UE ale to wymaga sprawdzenia konfiguracji.

Transfer danych poza Europejski Obszar Gospodarczy wymaga odpowiednich zabezpieczeń. Standard Contractual Clauses w umowie powierzenia. Ocena czy w kraju docelowym dane są odpowiednio chronione. Po wyroku Schrems II i ramach Data Privacy Framework sytuacja USA jest specyficzna ale wymaga aktywnego sprawdzenia – nie założenia że "skoro popularne to legalne."

Sprawdź gdzie konkretnie Twoja aplikacja przechowuje nagrania i transkrypcje. Sprawdź czy umowa powierzenia obejmuje transfer transgraniczny. Sprawdź jak długo dane są przechowywane i czy można ten okres skrócić.


Trenowanie modeli AI na Twoich rozmowach

Niektóre aplikacje do transkrypcji w domyślnych warunkach świadczenia usługi zastrzega prawo do wykorzystywania danych klientów do trenowania własnych modeli AI. Twoje spotkania – konkretne treści, sposób mówienia, słownictwo branżowe – stają się paliwem dla kolejnej wersji modelu.

Z perspektywy RODO to jest dodatkowy cel przetwarzania który wymaga odrębnej podstawy prawnej. Cel "transkrypcja spotkania na Twoje potrzeby" jest jeden. Cel "trening naszego modelu AI na Twoich danych" – drugi. Drugi w większości przypadków nie znajduje uzasadnienia bez wyraźnej zgody administratora. W dodatku tu już jest dwóch administratorów danych - powinieneś zebrać od nagrywanych zgodę na przekazanie ich danych do innej firmy.

W ustawieniach większości aplikacji można wyłączyć opcję wykorzystywania danych do treningu. Domyślnie często jest włączona. Sprawdź konfigurację w swojej firmie.


Checklist przed wdrożeniem aplikacji do transkrypcji

Zanim podłączysz Otter, Fireflies czy Copilot do firmowego Teamsa:

Masz podpisaną umowę powierzenia przetwarzania danych z dostawcą? Wiesz gdzie geograficznie przechowywane są nagrania i transkrypcje? Wyłączyłeś opcję wykorzystywania Twoich danych do trenowania modeli AI? Masz procedurę informowania uczestników spotkań że są nagrywani? Wdrożyłeś klauzulę informacyjną dla zewnętrznych uczestników – klientów, kontrahentów, kandydatów? Dodałeś transkrypcję jako czynność przetwarzania do rejestru? Wiesz jak długo nagrania są przechowywane i jak można je usunąć?

Jeśli na większość pytań odpowiedź brzmi "nie" – system działa ale działa nielegalnie.


Co zrobić jeśli już używasz takiego narzędzia bez powyższego

Trzy kroki w kolejności.

Krok pierwszy: zatrzymaj automatyczne dołączanie bota do spotkań do czasu uregulowania kwestii prawnych. Jeśli pracownicy chcą nagrywać konkretne spotkanie – mogą to zrobić świadomie po poinformowaniu uczestników. Automatyczne nagrywanie wszystkiego jest największym ryzykiem.

Krok drugi: znajdź umowę z dostawcą i sprawdź czy zawiera elementy art. 28 RODO. Jeśli nie – skontaktuj się z dostawcą i zażądaj podpisania umowy powierzenia. Większość dostawców enterprise ma gotowe wzory – wystarczy ich poprosić.

Krok trzeci: ureguluj kwestie operacyjne. Polityka informowania uczestników. Klauzula w zaproszeniach na spotkania. Wyłączenie opcji trenowania modeli AI. Skrócenie okresu retencji nagrań.

Im szybciej tym lepiej. Bo gdy ktoś z kontrahentów albo kandydatów do pracy złoży skargę do UODO – pierwszym pytaniem organu będzie "kto Was zatwierdził do nagrywania tej rozmowy."

Czy używanie Microsoft Copilot w ramach Microsoft 365 oznacza że nie potrzebuję osobnej umowy powierzenia?

Microsoft 365 ma wbudowane Data Protection Addendum które dla większości funkcjonalności pełni rolę umowy powierzenia. Copilot to dodatkowa warstwa przetwarzania – analiza treści, generowanie podsumowań, trenowanie modeli – która może wykraczać poza pierwotną umowę. Sprawdź w panelu administracyjnym jakie dokładnie dane Copilot przetwarza i czy aktualne DPA to obejmuje. W większości przypadków obejmuje, ale to nie jest oczywiste i wymaga weryfikacji a nie założenia.


Pracownik dołączył bota do transkrypcji bez pytania mnie o zgodę. Co teraz?

To jest częsty scenariusz w firmach które nie mają jasnej polityki użycia AI. Pracownik instaluje Otter na swoim koncie służbowym, podłącza do firmowego kalendarza i automatycznie wszystkie jego spotkania są transkrybowane. Z perspektywy firmy to oznacza że dane firmowe – w tym dane klientów i innych pracowników – są przetwarzane przez dostawcę z którym nie masz umowy. To jest nieuprawnione przetwarzanie i potencjalnie naruszenie. Działanie pierwsze – zatrzymanie używania narzędzia do czasu uregulowania kwestii. Działanie drugie – polityka która jasno mówi pracownikom jakie narzędzia AI mogą używać a jakich nie.


Klient poprosił o usunięcie nagrania spotkania na którym był. Czy muszę spełnić tę prośbę?

Niekoniecznie. Prawo do usunięcia danych z art. 17 RODO nie jest absolutne – administrator może odmówić jeśli ma inną podstawę prawną do dalszego przechowywania danych. Jeśli na spotkaniu zapadły istotne ustalenia biznesowe, ustalono warunki kontraktu albo padły deklaracje od których mogą powstać roszczenia w przyszłości – masz uzasadniony interes w zachowaniu nagrania jako dowodu. To jest argument który możesz przedstawić odmawiając usunięcia.

Ale każda odmowa to większe ryzyko skargi do UODO. Klient może uznać że Twoja podstawa prawna jest niewystarczająca i przekazać sprawę organowi. UODO oceni czy uzasadniony interes administratora rzeczywiście przeważa nad prawami osoby której dane dotyczą.

W praktyce rozważ kilka pytań przed odmową. Czy nagranie naprawdę zawiera ustalenia od których mogą powstać roszczenia – czy to było tylko zwykłe spotkanie informacyjne? Czy masz alternatywne dowody tych ustaleń – maile potwierdzające, podpisany dokument – które wystarczą bez nagrania? Czy ryzyko skargi do UODO jest większe niż wartość zachowania nagrania?

Jeśli decydujesz się usunąć – problem techniczny: nagranie zawiera też wypowiedzi innych osób. W idealnym scenariuszu usuwasz tylko fragmenty dotyczące osoby żądającej usunięcia. Większość platform do transkrypcji tego nie umożliwia więc kasujesz cały plik. Sprawdź funkcjonalność swojego narzędzia w tym zakresie zanim pierwsza taka prośba do Ciebie wpłynie.


Czy mogę używać aplikacji do transkrypcji na spotkaniach rekrutacyjnych?

Można – ale wymaga szczególnej ostrożności. Kandydat do pracy ma prawo wiedzieć że spotkanie jest nagrywane i transkrybowane oraz w jakim celu te dane będą używane. Informacja powinna pojawić się w zaproszeniu na rozmowę i być potwierdzona na początku spotkania. Kandydat musi mieć możliwość sprzeciwu bez konsekwencji dla procesu rekrutacyjnego – to ostatnie jest kluczowe bo gdy odmowa nagrywania automatycznie wyklucza z procesu, "dobrowolność" staje się fikcją. Dodatkowo nagranie z rozmowy rekrutacyjnej wchodzi w obszar danych kandydata które masz prawo przetwarzać tylko w określonym celu i przez określony czas. Po zakończeniu procesu rekrutacji – nagranie kasujesz, podobnie jak inne dane kandydata.


Jak długo mogę przechowywać nagrania spotkań?

Tyle ile potrzebujesz do celu dla którego je nagrałeś – i ani dnia dłużej. Jeśli celem była notatka ze spotkania, którą wykorzystałeś tego samego dnia, dalsze przechowywanie nagrania nie ma uzasadnienia. Jeśli celem była dokumentacja decyzji projektowych, okres przechowywania może być dłuższy – ale powinien być jasno określony w polityce retencji. W praktyce większość firm nie kasuje nagrań w ogóle, bo platforma trzyma je domyślnie i nikt nie pomyślał żeby ustawić politykę kasowania. To jest dokładnie ta sytuacja którą UODO sprawdza przy kontroli – nieograniczone przechowywanie bez uzasadnienia narusza zasadę ograniczenia przechowywania z art. 5 RODO.


Co jeśli ktoś dołącza do spotkania późno i nie usłyszał informacji o nagrywaniu?

Dobra praktyka to wpisanie informacji o nagrywaniu zarówno w zaproszeniu jak i powtórzenie jej w pierwszej minucie spotkania. Gdy ktoś dołącza późno – krótka informacja "informuję że spotkanie jest nagrywane" zajmuje pięć sekund i rozwiązuje problem. Jeśli osoba która dołączyła późno nie zgadza się na nagrywanie – masz wybór: wyłącz nagrywanie albo poproś ją żeby opuściła spotkanie. Trzecia opcja – ignorowanie sprzeciwu – jest najgorsza.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.