Pro evropské týmy se přepis v souladu s GDPR odvíjí od jediné architektonické otázky: kam se po opuštění mikrofonu dostane zvuk z vašeho hovoru? Nástroje, které ukládají zvuk z meetingu nebo přepisy na serveru, vyžadují smlouvu o zpracování osobních údajů a v případě, že osobní údaje z EU odcházejí mimo EU/EHP, také platný mechanismus předávání podle kapitoly V GDPR. Tímto mechanismem může být rozhodnutí o odpovídající ochraně, účast certifikovaného amerického dodavatele v rámci EU-US Data Privacy Framework, standardní smluvní doložky, závazná podniková pravidla nebo jiné schválené záruky. Nástroje, které zpracovávají zvuk v reálném čase bez jeho uchovávání, mají menší trvalou datovou stopu. Ten rozdíl není jen technická drobnost -- selhání v oblasti ochrany soukromí při AI meetingu podle článku 83 GDPR mohou stát až €20 milionů nebo 4 % celosvětového ročního obratu.

Zvažte běžný scénář DPO: vedoucí oddělení mimochodem zmíní, že obchodní tým už měsíce používá AI asistenta pro meetingy. Zákaznické hovory -- včetně hovorů s kupujícími z EU, kteří o tom nikdy nebyli informováni -- byly nahrány a nahrány na platformu dodavatele. Neexistovala žádná smlouva o zpracování osobních údajů. Nebyla zdokumentována žádná analýza právního základu ani oznámení účastníkům. Nápravná opatření přicházejí až poté, co se meetingy už uskutečnily.

Shoda s GDPR u nástrojů pro AI přepis není o tom najít nástroj se správným odznakem. Jde o pochopení toho, co nástroj dělá se zvukovými daty, kde ukládá přepisy a zda se do vašeho meetingu připojuje bot jako faktická druhá strana. Tento průvodce vám dává rámec pro hodnocení jakéhokoli nástroje -- a aplikuje ho na sedm nástrojů, které evropské týmy v roce 2026 skutečně používají.

Klíčové poznatky

Co GDPR ve skutečnosti vyžaduje pro přepis meetingů

Je přepis meetingu osobním údajem podle GDPR?

Ano. Článek 4(1) GDPR definuje osobní údaj jako „jakékoli informace o identifikované nebo identifikovatelné fyzické osobě“. Přepis meetingu uvádí účastníky jménem, zaznamenává jejich názory a může zachycovat zdravotní, finanční nebo politické informace. Zvuk může přinášet další riziko: hlasová data se stávají biometrickými údaji podle článku 9, pokud jsou zpracovávána za účelem identifikace osoby, a obsah meetingu může zahrnovat údaje zvláštní kategorie, například o zdraví, politice nebo odborové příslušnosti.

Které články GDPR se na přepis meetingů vztahují?

Čtyři úrovně rizika GDPR u nástrojů pro přepis

Každý nástroj pro AI přepis spadá do jednoho ze čtyř architektonických vzorců. Tento vzorec určuje vaši základní expozici vůči GDPR -- nezávisle na tom, zda dodavatel tvrdí, že je v souladu.

Úroveň 1 — Ukládání zvuku na serveru + meeting bot Nejvyšší riziko

Zvuk se nahrává na servery dodavatele a uchovává se. Bot se připojí k meetingu jako druhý účastník a nahrává jménem dodavatele. Příklady: Fireflies.ai, OtterPilot. Rizikové faktory: úplné uchovávání zvuku, možné biometrické nebo údaje zvláštní kategorie, kontrola mezinárodního předávání podle kapitoly V GDPR a samostatný datový tok mezi zpracovatelem a účastníkem meetingu, který musí pokrýt smlouva podle článku 28 a jasné oznámení účastníkům.

Úroveň 2 — Ukládání přepisu na serveru, bez bota Střední riziko

Zvuk zpracovává dodavatel, ale přepisy jsou ukládány na jeho serverech. Do hovoru se nepřipojuje žádný bot. Riziko silně závisí na umístění serverů a smluvních podmínkách: ukládání v EU snižuje obavy z přeshraničního předávání, zatímco ukládání mimo EU vyžaduje platný mechanismus podle kapitoly V GDPR. Příklady: Amberscript, Notta, Trint, Otter.ai (bez bota), standardní používání Otter.

Úroveň 3 — Lokální přepis, externí zpracování v reálném čase Nižší riziko

Zvuk je v reálném čase streamován do externí vrstvy pro přepis nebo překlad a po zpracování se neuchovává. Přepisy se ukládají v prohlížeči nebo zařízení uživatele -- ne na serverech dodavatele. Dodavatel nikdy neshromažďuje knihovnu obsahu vašich meetingů. Příklad: MirrorCaption. Zbytkové riziko: zvuk během zpracování prochází externím API; ověřte seznam dílčích zpracovatelů dodavatele a smlouvu o zpracování osobních údajů.

Úroveň 4 — Plně lokální zpracování Nejnižší riziko

Zvuk je zpracováván výhradně v zařízení; nic externího se neúčastní. Nejnižší možná stopa podle GDPR, ale jen velmi málo komerčních nástrojů takto funguje ve velkém měřítku. Samostatně hostované open-source modely pro převod řeči na text tento vzorec přibližně napodobují, ale vyžadují technické nastavení a průběžnou údržbu.

Ilustrační příklad

Maarten vede engineering v nizozemské SaaS společnosti. Když jeho tým customer success požádal o nástroj pro přepis, vyhodnotil tři možnosti. Jeden dodavatel nabízel smluvně doloženou rezidenci dat v EU a smlouvu o zpracování osobních údajů, ale pouze pro zpracování po hovoru. Pro jeho zákaznické hovory v němčině to znamenalo čekat po každém meetingu na přepis. Jeho tým stále používá MirrorCaption pro živé dvojjazyčné hovory, protože přepisy zůstávají v prohlížeči a MirrorCaption neuchovává zvuk ani archivy přepisů na serveru.

Potřebujete k přepisu meetingu v EU souhlas?

Podle článku 6 GDPR potřebujete pro zpracování osobních údajů právní základ. U přepisu meetingů se nejčastěji používají oprávněné zájmy (článek 6(1)(f)) pro interní meetingy a informované oznámení pro externí hovory. Výslovný souhlas podle článku 6(1)(a) není vždy vyžadován -- transparentnost podle článků 13 a 14 však vždy vyžadována je. Před začátkem meetingu musíte účastníky informovat o tom, jaká data se shromažďují, za jakým účelem a kde jsou ukládána.

Právní základy podle článku 6 GDPR

Oprávněné zájmy ve většině případů pokrývají interní meetingy, pokud vaše zásady ochrany soukromí nebo zaměstnanecká příručka uvádějí, že meetingy mohou být přepisovány, a vysvětlují proč. Oprávněný zájem musí být vyvážen proti právům účastníků na soukromí -- u běžných interních standupů je to obvykle jednoduché; u citlivých HR diskusí nikoli.

Souhlas je vhodný, když přepisujete hovory s externími stranami (zákazníky, potenciálními zákazníky, dodavateli), které nebyly předem upozorněny smluvním vztahem. Souhlas musí být svobodně udělený, konkrétní a stejně snadno odvolatelný, jako je snadné jej udělit.

Poznámka: Pokyny EDPB a vnitrostátní zákony jednotlivých členských států (německý BDSG, francouzský loi Informatique et Libertés, italský Codice Privacy) k tomu v pracovněprávních kontextech přidávají další vrstvy. Pokud je váš tým ve více jurisdikcích EU, poraďte se s místním právním poradcem.

Praktický workflow souhlasu pro externí hovory

  1. Pozvánka na meeting: Přidejte do standardní pozvánky jednu větu: „Tento hovor bude přepisován pro [účel]. Přepis bude uložen [kde] a uchováván po [období].“
  2. Na začátku hovoru: Ústně potvrďte: „Jen upozorňuji, že pořizujeme živý přepis pro naše záznamy -- dejte mi vědět, pokud byste si to nepřáli.“
  3. V případě nesouhlasu: Okamžitě přepis zastavte. Zdokumentujte, že jste jej zastavili.
  4. Uchovávání: Nastavte plán mazání (např. 90 dní) a dodržujte jej. Článek 17 GDPR dává účastníkům právo požadovat výmaz.

Chcete vidět, jak model lokálního přepisu od MirrorCaption funguje v praxi? Vyzkoušejte zdarma -- 1 hodina, bez platební karty.

Vyzkoušet MirrorCaption zdarma

Na co se zaměřit u nástroje pro přepis v souladu s GDPR

Použijte tento checklist při hodnocení jakéhokoli nástroje pro přepis pro evropské týmy. Nástroj, který splní všech sedm bodů, není automaticky „v souladu“ -- důležité jsou i vaše vlastní procesy -- ale odstraňuje největší rizika na straně dodavatele.

Srovnání nástrojů pro přepis podle GDPR (2026)

Tabulka níže hodnotí sedm nástrojů běžně používaných evropskými týmy podle výše uvedeného checklistu. Architektura je důležitější než certifikace -- nástroj s publikovanou DPA, ale s ukládáním zvuku na serveru nese vyšší strukturální riziko než nástroj bez jakéhokoli ukládání zvuku na serveru.

Poznámka: Ceny a dostupnost DPA se mění. Před rozhodnutím o nákupu ověřte aktuální údaje na webu každého dodavatele. Uvedené ceny jsou přibližné k polovině roku 2026.

Nástroj Ukládá se zvuk na serveru? Je k dispozici DPA? Servery v EU? Meeting bot? Úroveň rizika GDPR
MirrorCaption Ne (pouze v reálném čase, neuchovává se) Dostupná pro platící zákazníky Na serverech MirrorCaption se trvale neukládají přepisy; zkontrolujte dílčí zpracovatele pro živé zpracování Ne Úroveň 3 -- Nižší
Amberscript Ano Ověřte aktuální DPA Ověřte aktuální smluvně sjednaný region Ne Úroveň 2 -- Nižší-střední
Trint Ano Ověřte aktuální DPA Ověřte vybraný region / plán Ne Úroveň 2 -- Střední
Notta Ano Ověřte aktuální DPA Ověřte aktuální region a dílčí zpracovatele Ne Úroveň 2 -- Střední
Otter.ai (bez bota) Ano Ověřte aktuální DPA Ověřte mechanismus předávání Volitelné Úroveň 2 -- Středně-vysoká
Fireflies.ai Ano Ověřte aktuální DPA Ověřte mechanismus předávání Ano (připojuje se k meetingu) Úroveň 1 -- Vyšší
Sembly Ano Ověřte aktuální DPA Ověřte aktuální region a mechanismus předávání Ano (připojuje se k meetingu) Úroveň 1 -- Vyšší

Pro týmy, u nichž data nesmí vůbec opustit infrastrukturu EU, upřednostněte dodavatele, kteří se smluvně zavazují k rezidenci dat v EU a zveřejňují aktuální podmínky DPA a dílčích zpracovatelů. Kompromisem bývá workflow: mnoho produktů pro přepis s rezidencí v EU zpracovává zvuk až po hovoru, místo aby překládaly živě během meetingu. Podívejte se na naše průvodce vícejazyčným přepisem, kde najdete podrobné srovnání nástrojů pro zpracování po hovoru a v reálném čase pro vícejazyčné týmy.

Pro týmy, které potřebují živý překlad mezi jazyky během meetingu a chtějí minimalizovat svou serverovou zvukovou stopu, je MirrorCaption jediným nástrojem v této tabulce, který kombinuje obojí -- žádný bot, žádné ukládání zvuku a přepis v reálném čase s překladem do více než 50 volitelných jazyků. Podívejte se na srovnání MirrorCaption s Fireflies, pokud tento nástroj právě vyhodnocujete.

Jak MirrorCaption řeší GDPR

Budeme zde konkrétní -- ne proto, že chceme dělat marketingové tvrzení o shodě, ale proto, že architektura je skutečně odlišná od většiny nástrojů v této kategorii a evropské týmy si zaslouží srozumitelné vysvětlení toho, co se s jejich daty skutečně děje.

Žádné ukládání zvuku na serveru

MirrorCaption neuchovává zvuk z vašeho meetingu. Zvuk z mikrofonu nebo z karty meetingu zpracovává živý přepisovací engine MirrorCaption v reálném čase: zvukové pakety se po segmentech převádějí na text a ihned po přepisu se zahazují. Na serverech MirrorCaption se nehromadí nic kromě toho, co je potřeba pro fakturaci (minuty používání, ne obsah). To přímo odpovídá principu minimalizace údajů v článku 5(1)(c) GDPR: shromažďujte jen to, co potřebujete.

Přepisy zůstávají ve vašem prohlížeči

Když MirrorCaption zapíše segment přepisu, zapíše jej do lokálního úložiště vašeho prohlížeče (IndexedDB) -- ne na server MirrorCaption. V řízeném režimu prochází živý zvuk stále přes dílčí zpracovatele pro přepis a překlad během zpracování v reálném čase, ale infrastruktura MirrorCaption nehromadí serverovou knihovnu přepisů. Za vlastní používání přepisů, jejich uchovávání a oznámení účastníkům zůstáváte odpovědní vy sami.

Žádný meeting bot

MirrorCaption se nikdy nepřipojí k vašemu meetingu jako účastník. Neexistuje žádný bot, žádný nepozvaný host, žádné oznámení o nahrávání spuštěné účastníkem bota. Tím se odstraňuje problém s datovým tokem specifickým pro boty, který mnoho evropských IT a privacy týmů pečlivě posuzuje. Účastníci vašeho meetingu vědí, kdo je v místnosti -- protože MirrorCaption v místnosti není.

To je prakticky důležité i pro remote týmy s přísnými bezpečnostními politikami IT: protože MirrorCaption zachycuje zvuk přes kartu v prohlížeči -- ne přes nainstalovaného klienta nebo pozvánku pro bota -- obvykle nespouští politiky blokující boty ani nevyžaduje schválení IT pro přidání nového účastníka meetingu.

Režim BYOK pro kontrolu na úrovni enterprise

MirrorCaption podporuje režim Bring Your Own Key (BYOK): firemní uživatelé mohou poskytnout vlastní API přihlašovací údaje pro vrstvy živého přepisu a AI překladu. V režimu BYOK má vaše organizace přímý smluvní vztah s těmito poskytovateli služeb a snižuje závislost na poskytovatelích zpracování spravovaných MirrorCaption. To dává týmům zaměřeným na compliance čistší řetězec dodavatelů k posouzení.

Co ověřit před nasazením v enterprise

Chceme být upřímní ohledně toho, co režim BYOK a architektura bez ukládání zvuku neřeší úplně. V řízeném režimu (bez BYOK) je zvuk zpracováván v reálném čase přepisovacím enginem MirrorCaption a vrstvou AI překladu -- obě jsou externí služby. Zvuk se neuchovává, ale prochází přes ně. Evropské týmy s přísnými požadavky na rezidenci dat by před nasazením MirrorCaption ve velkém měřítku měly udělat následující:

Pro týmy, u nichž je nulový přenos zvuku mimo infrastrukturu EU tvrdým požadavkem, je na této konkrétní ose vhodnější plně lokální nebo v EU umístěné řešení (například Amberscript s datovými centry v EU) -- i kdyby to znamenalo vzdát se živého překladu.

1 hodina zdarma, bez platební karty, bez bota připojujícího se k vašemu meetingu. Otestujte MirrorCaption na svém příštím hovoru a vyhodnoťte si nastavení ochrany soukromí na vlastní oči.

Začít zdarma

Často kladené otázky

Je AI přepis meetingů v souladu s GDPR?

AI přepis meetingů může být v souladu s GDPR, pokud má nástroj právní základ pro zpracování (článek 6), informuje účastníky (články 13-14), má smlouvu o zpracování osobních údajů s relevantními zpracovateli (článek 28) a používá platný mechanismus předávání, když osobní údaje opouštějí EU/EHP. Tímto mechanismem může být rozhodnutí o odpovídající ochraně, účast certifikovaného amerického dodavatele v rámci EU-US Data Privacy Framework, standardní smluvní doložky, závazná podniková pravidla nebo jiná GDPR schválená záruka. Shoda závisí na architektuře a procesech, ne na marketingových odznacích. Nástroj, který zobrazuje štítek „v souladu s GDPR“, ale nezveřejňuje seznam dílčích zpracovatelů ani podmínky DPA, shodu nedokazuje -- pouze ji tvrdí.

Potřebujete souhlas k přepisu meetingu v EU?

Potřebujete právní základ podle článku 6 GDPR. U interních meetingů se často uplatní oprávněné zájmy (článek 6(1)(f)), pokud je to uvedeno ve vašich zásadách ochrany soukromí. U hovorů s externími stranami účastníky před začátkem meetingu informujte a umožněte jim vznést námitku. Výslovný souhlas není vždy nutný, ale transparentnost vždy ano. Minimálním požadavkem téměř v každém scénáři je ústní nebo písemné oznámení před zahájením přepisu.

Mohu v Evropě používat americké nástroje pro přepis, jako je Otter.ai?

Ano, ale za určitých podmínek. Ověřte, že dodavatel podepisuje DPA, uvádí dílčí zpracovatele a identifikuje mechanismus předávání pro osobní údaje z EU. Protože rozhodnutí o odpovídající ochraně v rámci EU-US Data Privacy Framework se vztahuje pouze na účastnící se certifikované americké společnosti, ostatní předávání do USA obvykle vyžaduje SCC, závazná podniková pravidla nebo jiný platný mechanismus podle kapitoly V GDPR.

Vztahuje se GDPR na interní meetingy?

Ano. GDPR se vztahuje na osobní údaje jakýchkoli osob z EU, včetně zaměstnanců. Přepisy interních meetingů obsahují osobní údaje (jména, názory, někdy zdravotní nebo finanční údaje) a musí být zpracovávány na základě právního základu s vhodnými limity uchovávání a bezpečnostními opatřeními. To, že je meeting „interní“, vaše povinnosti nesnižuje; obvykle to znamená, že se jako právní základ uplatní oprávněné zájmy místo souhlasu.

Jaké je riziko GDPR u meeting bota?

Meeting boty vytvářejí dalšího účastníka a další tok zpracování: dodavatel SaaS nahrává zvuk vaším jménem a často jej ukládá na svých serverech. To přidává povinnosti podle článku 28 (vyžadující DPA s dodavatelem), požadavky na kontrolu předávání, pokud jsou servery mimo EU/EHP, a požadavky na transparentnost vůči účastníkům nad rámec vašich vlastních povinností. Když se bot připojí k meetingu, nefunguje jako pasivní lokální nástroj -- je to aktivní zpracovatel s vlastním právním vztahem k datům vašeho meetingu. Mnoho evropských IT oddělení botům připojení k meetingům blokuje právě z tohoto důvodu.

Jak neukládání zvuku na serveru snižuje riziko GDPR?

Podle článku 5(1)(c) GDPR byste měli shromažďovat jen to, co je nezbytné (minimalizace údajů). Pokud je zvuk zpracováván v reálném čase a neuchovává se, neexistuje žádný trvalý archiv zvuku, který by bylo třeba zabezpečit, prohledávat nebo mazat. Zbytková stopa se přesouvá na přepisy a přechodná metadata zpracování -- a pokud přepisy zůstávají v prohlížeči uživatele, vaše trvalá serverová expozice se dále zmenšuje. To není úplná odpověď na compliance: stále potřebujete právní základ, transparentnost vůči účastníkům, kontrolu dílčích zpracovatelů a tam, kde je to relevantní, platný mechanismus předávání.

Minimalizujte svou datovou stopu při meetingech

Žádný zvuk uložený na serverech. Žádný bot připojený k vašemu hovoru. Přepisy zůstávají ve vašem prohlížeči. Začněte s 1 hodinou zdarma -- bez nutnosti platební karty.

Vyzkoušet MirrorCaption zdarma

Stručně řečeno

Představte si compliance leada v barcelonském fintechu, jehož právní tým upozorní na rizika uchovávání zvuku v předchozím nástroji pro přepis. Během hodnocení dodavatelů MirrorCaption vynikne tím, že kombinuje živé vícejazyčné pokrytí bez uchovávání zvuku na serveru a přepisy uložené lokálně v prohlížeči. Tato architektura může usnadnit kontrolu ochrany soukromí, ale nenahrazuje due diligence při nákupu: dalším krokem je stále potvrzení DPA, dílčích zpracovatelů a podmínek předávání pro nasazení v enterprise.

Žádný nástroj není sám o sobě „plně v souladu s GDPR“ -- shoda je kombinací architektury nástroje, vašich vlastních procesů souhlasu a vašeho interního řízení dat. Ale architektura nástroje je místo, kde byste měli začít. Nástroj, který nikdy neukládá zvuk, nese menší riziko než ten, který jej ukládá, bez ohledu na to, co říká marketingová stránka kteréhokoli dodavatele. Použijte veškerý čtyřúrovňový rámec rizik v tomto článku k filtrování užšího výběru a poté před podpisem ověřte DPA, dílčí zpracovatele, podmínky uchovávání a mechanismy předávání.

Pro hlubší pohled na aspekty ochrany soukromí u nástrojů pro AI meetingy se podívejte na naši analýzu ochrany soukromí u AI shrnutí meetingů -- pokrývá, co různé nástroje dělají s obsahem vašich meetingů po skončení hovoru.