scryp
Tüm yazılar
8 dk okuma

GDPR ve Transkripsiyon: Şirketlerin Bilmesi Gerekenler

Toplantıları kaydeden, röportajları transkribe eden ya da dikteleri işleyen kişi, kişisel verileri işler. Sesler, isimler, görüşler, bazen sağlık verileri veya ticari sırlar – bunların hepsi Genel Veri Koruma Tüzüğü’nün (GDPR / DSGVO) kapsamına girer. Buna rağmen birçok şirket, hukuki gereksinimleri bilmeden transkripsiyon hizmetleri kullanır.

Bu makale, hangi yükümlülüklerin geçerli olduğunu, en sık hataların nerede yapıldığını ve transkripti veri korumasına uygun biçimde nasıl kullanacağınızı açıklar.

Ses kayıtları neden özellikle hassastır

Ses kayıtları biyometrik özellikler (ses), çoğu zaman isimler ve düzenli olarak içerik açısından hassas bilgiler içerir. Almanya’da, aleni olmayan konuşulan söz ayrıca StGB § 201 ile, Avusturya’da StGB § 120 ile korunur. İlgililerin bilgisi olmadan yapılan bir kayıt bu nedenle suç teşkil edebilir.

GDPR, ses verilerinin işlenmesini Md. 4 No. 2 uyarınca kişisel verilerin işlenmesi olarak sınıflandırır. Bu şu anlama gelir: Her kayıt, saklama ve transkripsiyon için bir hukuki dayanak gerekir.

Transkripsiyon için hukuki dayanaklar

Transkriptler için en güvenli hukuki dayanak, GDPR Md. 6 fıkra 1 lit. a uyarınca tüm ilgililerin açık onayıdır. Meşru menfaat veya sözleşmenin ifası gibi alternatifler pratikte zor uygulanır, çünkü mahkemeler elle tutulan tutanakları daha hafif bir yöntem olarak değerlendirir.

GDPR Md. 6 fıkra 1, olası birden çok hukuki dayanak sayar. Transkriptler için üçü ilgilidir:

  • Onay (Md. 6 fıkra 1 lit. a) – En güvenli dayanak. Tüm ilgililer kayıttan önce bilgilendirilmeli ve etkin biçimde onay vermelidir. Onay gönüllü, bilgilendirilmiş ve geri alınabilir olmalıdır.
  • Meşru menfaat (Md. 6 fıkra 1 lit. f) – Teorik olarak mümkün, pratikte zor. Mahkemeler ve veri koruma makamları, elle tutulan tutanakların daha hafif bir yöntem olduğunu savunur.
  • Sözleşmenin ifası (Md. 6 fıkra 1 lit. b) – Yalnızca istisnai durumlarda geçerli, örneğin transkripsiyon açıkça sözleşmenin bir parçasıysa.

Pratik öneri: Her zaman açık bir onay alın. Toplantılarda bu, davette yazılı olarak ve başlangıçta sözlü olarak yapılmalıdır.

Özel kategoriler: Sağlık verileri ve daha fazlası

Kayıtlar sağlık verileri (tıbbi dikteler), sendika üyeliği veya dinî inançlar içeriyorsa, GDPR Md. 9 devreye girer. Bu özel kategoriler açık bir onay gerektirir – zımni bir rıza yeterli değildir.

Şeffaflık yükümlülükleri: Neleri bildirmeniz gerekir

GDPR Md. 13 ve 14, şirketleri ilgilileri kayıttan önce kapsamlı biçimde bilgilendirmeye zorunlu tutar:

  • Kayıt ve transkriptin yapıldığı ve hangi amaçla yapıldığı
  • Kayıtların ve transkriptlerin ne kadar süreyle saklanacağı
  • Verilere kimin erişeceği (dahili ve harici)
  • Bir üçüncü taraf sağlayıcının (transkripsiyon hizmeti) kullanılıp kullanılmadığı
  • İlgililerin hangi haklara sahip olduğu (bilgi edinme, silme, itiraz)

Bulut transkripsiyon hizmetleriyle ilgili sorun

Birçok transkripsiyon aracı sesi AB dışındaki sunucularda işler. Bu, veri koruma hukuku açısından sorunludur:

  • Üçüncü ülke aktarımı: Yeterli koruma düzeyi olmadan (yeterlilik kararı, standart sözleşme maddeleri) aktarım hukuka aykırıdır.
  • Veri işleme: Transkripsiyon hizmeti, GDPR Md. 28 uyarınca veri işleyendir – bir veri işleme sözleşmesi (DPA) zorunludur.
  • Sağlayıcının erişimi: Sunucu tarafı işlemede sağlayıcının açık metne erişimi vardır – birçok şirketin küçümsediği bir risk.

En güvenli çözüm: İstemci tarafı şifreleme

İstemci tarafı şifreleme, GDPR Md. 32 uyarınca en güçlü teknik koruma önlemidir. Ses dosyaları sunucuya ulaşmadan önce tarayıcıda şifrelenir. Sağlayıcıda bir veri sızıntısı olsa bile veriler, kullanıcının anahtarı olmadan değersizdir.

İstemci tarafı şifrelemede ses dosyaları sunucuya ulaşmadan önce zaten tarayıcıda şifrelenir. Transkripsiyon de şifreli olarak saklanır – sağlayıcı bile saklanan içerikleri okuyamaz.

GDPR için bu şu anlama gelir: Sağlayıcıda bir veri sızıntısı olsa bile, kullanıcının anahtarı olmadan çözülemeyecekleri için veriler değersizdir. Bu, GDPR Md. 32 uyarınca en güçlü teknik önlemdir.

Veri korumasına uygun transkripsiyon için kontrol listesi

  • Kayıttan önce tüm ilgililerin onayını alın
  • Amacı ve saklama süresini belgeleyin
  • Sağlayıcıyla bir veri işleme sözleşmesi imzalayın
  • Verilerin nerede işlendiğini ve saklandığını kontrol edin (AB'ye karşı üçüncü ülke)
  • Şifrelemeyi güvence altına alın – ideal olarak istemci tarafında
  • Bir silme planı belirleyin: Kayıtlar ve transkriptler ne zaman silinir?
  • İlgili kişilerin haklarını güvence altına alın (bilgi edinme, silme, itiraz)
  • GDPR Md. 30 uyarınca işleme kayıt envanterini tutun

Sonuç

Veri koruması olmadan transkripsiyon hukuki bir risktir. GDPR, onay, şeffaflık ve teknik koruma önlemleri konusunda net gereksinimler koyar. Ses kayıtlarını işleyen şirketler, transkripsiyon hizmetlerini özenle kontrol etmelidir – özellikle sağlayıcının açık metne erişiminin olup olmadığını ve verilerin nerede saklandığını.

Not: Bu yazı genel bilgilendirme amaçlıdır ve somut durumda hukuki danışmanlığın yerini tutmaz.

GDPR ve Transkripsiyon: Şirketlerin Bilmesi Gerekenler