AI 전사 개인정보 보호 위험: 직장 규정 준수 가이드 2026
On this page
In February 2026, a multinational corporation faced a €2.4 million GDPR fine after an HR investigation revealed that AI-transcribed meeting recordings had been stored on third-party servers without explicit employee consent. The incident, first reported by Reuters, has sent shockwaves through corporate legal departments worldwide.
AI transcription tools have become standard in remote and hybrid workplaces. But many companies don’t realize they’re creating massive compliance risks every time they hit “record.” Employee consent, data retention policies, cross-border data transfers, and third-party processing agreements are all potential legal landmines.
We analyzed GDPR Article 6 and Article 9 requirements, reviewed 12 AI transcription tools for privacy features, and consulted with employment lawyers in the EU and US. Here’s what companies need to know to use AI transcription legally in 2026.
Related: 최고의 AI 전사 도구, 팀을 위한 AI 회의 보조, 회의록 AI 도구
빠른 선택
- ScreenApp. 최고의 프라이버시 우선 옵션. 온디바이스 처리, 제로 데이터 보존 모드. 무료 무제한 / 월 $19.
- Otter.ai. 자동화된 동의 워크플로우에 최적. SOC 2 Type II 인증. 사용자당 월 $16.99.
- Rev.ai. HIPAA 준수에 최적. BAA 이용 가능. 비동기식 분당 $0.02.
- Fireflies.ai. 최고의 관리자 제어. EU 데이터 상주 옵션. 사용자당 월 $10.
- Grain. 최고의 동의 알림 시스템. 자동 참여자 알림. 사용자당 월 $19.
AI 전사의 개인 정보 보호 위기
가트너에 따르면, AI 회의 보조 도구를 사용하는 기업의 67%가 녹취록에 대한 공식적인 데이터 보존 정책을 가지고 있지 않습니다. 이는 언제든 발생할 수 있는 규정 준수 재앙입니다.
현재 상황은 이렇습니다: 직원이 줌(Zoom) 통화에 참여합니다. AI 봇이 자동으로 참여합니다. 대화는 전사되고, 감정 분석을 거쳐 제3자 서버에 무기한 저장됩니다. 누구도 동의를 구하지 않았습니다. 누구도 데이터가 어디로 가는지 설명하지 않았습니다. 누구도 삭제 기한을 설정하지 않았습니다.
GDPR 제6조에 따르면, 이는 불법적인 처리입니다. 캘리포니아 CPRA에 따르면, 이는 직원 개인 정보 권리 침해입니다. 독일, 오스트리아, 프랑스의 고용법에 따르면, 이는 근로자 대표 기구의 개입이나 심지어 형사 고발의 근거가 될 수 있습니다.
구체적인 위험:
- 동의 메커니즘 부재: 많은 AI 도구가 개별적인 동의 없이 회의에 자동 참여
- 무기한 보존: 영구적으로 저장된 녹취록은 “데이터 축적” 위반을 초래
- 제3자 처리: 직원 음성 데이터를 미국 기반 서버로 전송하는 것은 슈렘스 II 판결 위반
- 민감 데이터 노출: 녹취록 내 건강 관련 논의, 성과 평가, 인사 문제 = 제9조 특수 범주 데이터
- 정보 주체 접근 불가: 직원이 자신의 녹취록 데이터를 요청하거나 삭제할 수 없음
AI 전사가 불법은 아닙니다. 하지만 부주의하게 사용하는 것은 명백히 불법입니다.
직장 전사(轉寫)를 위한 GDPR 요구사항
EU의 일반 데이터 보호 규정(GDPR)은 직원 데이터 처리에 대한 엄격한 규칙을 설정합니다. 규정 준수가 실제로 요구하는 사항은 다음과 같습니다.
1. 법적 근거 (제6조)
직원 음성 녹음 및 녹취록을 처리하려면 여섯 가지 법적 근거 중 하나가 필요합니다. 실제로 대부분의 기업에 적용되는 것은 두 가지뿐입니다.
정당한 이익 (제6조 (1)(f)): 비즈니스 운영에 필요하고 직원의 개인 정보 보호 권리가 귀사의 이익을 침해하지 않는 경우 회의를 전사할 수 있습니다. 이는 문서화된 정당한 이익 평가(LIA)를 요구합니다.
동의 (제6조 (1)(a)): 자유롭게 주어지고, 구체적이며, 정보를 제공받고, 명확해야 합니다. “이 통화에 참여함으로써 동의하는 것으로 간주합니다”는 GDPR에 따른 유효한 동의가 아닙니다. 직원은 불이익 없이 거부할 수 있어야 합니다.
중요: 일상적인 회의 전사를 위해 “계약상 필요” (제6조 (1)(b)) 또는 “법적 의무” (제6조 (1)(c))를 사용할 수 없습니다. 유럽 데이터 보호 위원회는 이 점을 분명히 했습니다.
2. 투명성 (제13-14조)
기록하기 전에 직원들은 다음을 알아야 합니다:
- 누가 데이터를 처리하는지 (회사 이름 + 모든 제3자 공급업체)
- 왜 전사하는지 (사업 목적)
- 전사본이 어디에 저장되는지 (데이터 위치, 서버, 클라우드 제공업체)
- 전사본이 얼마나 오래 보관되는지 (특정 기간, “필요한 동안”이 아님)
- 누가 전사본에 접근할 수 있는지 (역할, 부서, 제3자)
- 삭제를 요청하는 방법 (DSAR 절차)
이는 첫 기록 전에 서면으로, 명확한 언어로 제공되어야 합니다.
3. 데이터 최소화 (제5조 제1항 (c)호)
필요한 내용만 전사할 수 있습니다. 실행 항목 추적을 위해 전사하는 경우, 전체 축어록이 필요하지 않습니다. 회의 요약이 필요한 경우, 원본 오디오를 저장할 필요가 없습니다.
많은 AI 도구는 기본적으로 모든 것을 전사합니다. 유효한 이유가 없는 경우 이는 GDPR 위반입니다.
4. 보관 제한 (제5조 제1항 (e)호)
전사본은 무기한 보관할 수 없습니다. 문서화된 보관 일정이 필요합니다:
- 실행 항목 / 결정: 30-90일
- 프로젝트 문서: 프로젝트 기간 + 6개월
- 인사/법률 문제: 고용법에 따라 요구되는 기간 (일반적으로 3-7년)
- 기타 모든 것: 최대 30일
자동 삭제 정책은 필수적입니다. 수동 검토는 확장성이 떨어집니다.
5. 특별 범주 데이터 (제9조)
건강 정보, 노조 가입 여부, 정치적 견해 및 기타 민감한 데이터는 명시적인 동의 또는 다른 제9조 예외가 필요합니다. 전사본에 이러한 내용이 포함될 수 있는 경우 (HR 회의, 성과 평가), 추가적인 안전 조치가 필요합니다.
직원 동의: 실제로 유효한 것
GDPR에서는 “묵시적 동의”가 존재하지 않습니다. 다음은 유효한 것입니다:
동의는 구체적이어야 합니다
나쁜 예: “저희는 품질 및 교육 목적으로 회의를 녹음할 수 있습니다.”
좋은 예: “저희는 Otter.ai를 사용하여 이 회의를 기록하며, Otter.ai는 미국에서 오디오를 처리합니다. 기록은 30일 동안 저장되며 [특정 역할]이 접근할 수 있습니다. 회의 시작 전에 [담당자]에게 알려주시면 불이익 없이 참여하지 않을 수 있습니다.”
동의는 자유롭게 이루어져야 합니다
직원들은 부정적인 결과 없이 거부할 수 있어야 합니다. 거부가 회의 참석이나 업무 참여 불가능을 의미한다면, 이는 유효한 동의가 아닙니다.
해결책: 대체 참여 방법 제공 (전화 전용 옵션, 수동 메모, 회의 후 요약 접근).
동의는 문서화되어야 합니다
누가, 언제, 무엇에 동의했는지 기록을 보관하십시오. 이는 DSAR 응답 및 감사에 중요합니다.
모범 사례: 동의 관리 플랫폼을 사용하거나 회의 워크플로에 옵트인/옵트아웃 추적 기능을 구축하십시오.
동의는 철회될 수 있습니다
직원들은 언제든지 동의를 철회할 수 있습니다. 다른 법적 근거가 없는 한, 30일 이내에 해당 데이터를 삭제해야 합니다.
기기 내 처리 vs 클라우드 처리
전사(轉寫)가 어디서 이루어지는지는 규정 준수에 엄청나게 중요합니다:
클라우드 처리 (대부분의 AI 도구)
- 오디오가 타사 서버(AWS, Google Cloud, Azure)로 전송됨
- 데이터가 국경을 넘음 (종종 미국으로, 심지어 EU 고객의 경우에도)
- 공급업체와 데이터 처리 계약(DPA) 필요
- 공급업체 보안 사고 및 침해에 노출될 수 있음
- EU→미국 전송 시 표준 계약 조항(SCC)이 필요할 수 있음
규정 준수 영향: 고위험. 광범위한 공급업체 실사, DPA 및 전송 영향 평가가 필요합니다.
온디바이스 처리
- 오디오가 사용자 컴퓨터 또는 회사 서버에 남아 있음
- 타사 접근 없음
- 국경 간 데이터 전송 없음
- 보존 및 삭제에 대한 완전한 통제
규정 준수 영향: 저위험. 제6조(1)(f) 정당한 이익에 따라 방어하기 더 쉬움.
온디바이스 옵션이 있는 도구: ScreenApp (선택적 로컬 전용 모드), Whisper (자체 호스팅), MacWhisper (macOS 로컬 전사).
데이터 보존 모범 사례
무기한 저장은 GDPR 위반입니다. 다음은 효과적인 방법입니다:
자동 삭제 정책
회의 유형에 따라 보존 규칙을 설정하세요:
| 회의 유형 | 보존 기간 | 이유 |
|---|---|---|
| 일일 스탠드업 | 7일 | 운영 목적만 |
| 프로젝트 계획 | 90일 | 프로젝트 기간 |
| 고객 통화 | 1년 | 계약 의무 |
| 성과 평가 | 3년 (일부 관할권 7년) | 고용법 요구 사항 |
| 인사 조사 | 7년 | 법적 방어 |
자동 삭제 기능을 사용하세요. 수동 삭제는 일관되게 이루어지지 않습니다.
익명화 vs 삭제
익명화(이름, 이메일, 식별 정보 제거)는 보존 의무를 줄일 수 있습니다. 하지만 제대로 수행하기는 어렵습니다. 실제 익명화 프로세스(단순한 마스킹이 아님)가 없다면, 보존으로 간주해야 합니다.
백업 보존
백업은 데이터 보존으로 간주됩니다. 스크립트를 삭제했지만 90일 동안 지난밤 백업에 여전히 남아 있다면, 실제로 삭제한 것이 아닙니다.
해결책: 스크립트 폴더에 대한 백업 제외 규칙을 구현하거나 세분화된 보존 제어 기능을 갖춘 시스템을 사용하십시오.
개인 정보 보호 우선 AI 스크립트 도구
저희는 개인 정보 보호 기능, 동의 워크플로 및 GDPR 준수 여부를 기준으로 12가지 AI 스크립트 도구를 평가했습니다. 다음은 저희가 찾은 내용입니다:
| 도구 | 처리 방식 | 데이터 상주 위치 | 자동 삭제 | 가격 |
|---|---|---|---|---|
| 스크린앱 | 기기 내 옵션 | EU 사용 가능 | 예 (구성 가능) | 무료 / 월 $19 |
| 오터.ai | 클라우드 (미국) | 미국만 | 수동만 | 월 $16.99 Pro |
| 레브.ai | 클라우드 (미국) | 미국만 | API 기반 (맞춤형) | 분당 $0.02 |
| 파이어플라이즈.ai | 클라우드 | EU 옵션 사용 가능 | 예 (7-365일) | 월 $10 Pro |
| 그레인 | 클라우드 (미국) | 미국만 | 예 (30-90일) | 월 $19 Starter |
| tldv | 클라우드 | EU 옵션 사용 가능 | 예 (구성 가능) | 무료 / 월 $20 Pro |
상세 개인 정보 보호 비교
스크린앱 - 최고의 개인 정보 보호 우선 옵션
스크린앱은 개인 정보 보호를 중시하는 팀을 위해 제작되었습니다. 선택적 기기 내 스크립트 작성 (오디오가 컴퓨터를 떠나지 않음), EU 데이터 상주, 그리고 1일부터 영구까지 구성 가능한 자동 삭제 기능을 제공합니다.
유형: 웹 앱 + 크롬 확장 프로그램 | 가격: 무료 무제한 / 월 $19 팀 | 처리 방식: 기기 내 옵션 또는 EU 클라우드
개인 정보 보호 기능: 데이터 제로 보존 모드, 기기 내 스크립트 작성, EU 서버, 타사 분석 없음, 기본적으로 GDPR 준수, DPA 제공, 자동 삭제 정책, 역할 기반 접근 제어
장점: 무료 플랜에서 무제한 스크립트 작성, 50개 이상 언어 지원, YouTube URL 및 업로드된 파일 작동, 사용량 제한 없음, 무료 티어에 신용 카드 불필요
단점: 기기 내 모드는 로컬 처리 능력 필요, API 접근은 유료 플랜에서만 가능
투명성 고지: 저희는 스크린앱을 클라우드 전용 스크립트 도구에 대한 개인 정보 보호 우선 대안으로 개발했습니다. 이 비교에 포함시킨 이유는 대부분의 대안보다 더 강력한 개인 정보 보호 제어 기능 (기기 내 처리, 제로 보존 모드, EU 상주)을 실제로 제공하기 때문입니다. 하지만 이 점을 염두에 두시고 다른 도구들도 시도해 보십시오.
오터.ai - 최고의 동의 워크플로
오터.ai는 가장 성숙한 동의 알림 시스템을 갖추고 있습니다. 오터가 회의에 참여하면 채팅에 스스로를 알리고 참가자에게 명확한 옵트아웃 링크를 제공합니다.
유형: 웹 앱 + 모바일 | 가격: 무료 (월 300분) / 월 $16.99 Pro | 처리 방식: 클라우드 (미국)
개인 정보 보호 기능: SOC 2 Type II 인증, 동의 알림, 회의 공지, 참가자 옵트아웃, 관리자 가시성 제어, DPA 제공
장점: 자동 회의 참여, 높은 정확도, 화자 식별, 실행 항목 감지, Zoom/Teams/Meet 통합
단점: EU 데이터 상주 불가, 자동 삭제 불가 (수동만), 무료 티어는 월 300분으로 제한, 미국 기반 처리는 GDPR 이전 위험 발생
Rev.ai - HIPAA 규정 준수에 최적
Rev.ai는 비즈니스 동반자 계약(BAA)을 통해 HIPAA 규정을 준수하는 처리를 제공하는 몇 안 되는 전사 API 중 하나입니다.
유형: API | 가격: $0.02/분 비동기 / $0.065/분 스트리밍 | 처리: 클라우드 (미국)
개인정보 보호 기능: HIPAA BAA 이용 가능, SOC 2 Type II, API를 통한 맞춤형 보존 정책, 온프레미스 배포 옵션 (기업용), DPA 이용 가능
장점: 높은 정확도, 36개 언어, 개발자 친화적인 API, 스트리밍 및 비동기 옵션, 사용자 지정 어휘 지원
단점: API 전용 (개발자 통합 필요), 미국 기반 처리, 내장된 동의 워크플로우 없음, 표준 요금제에서 EU 데이터 상주 불가
Fireflies.ai - 최고의 관리자 제어
Fireflies.ai는 IT 관리자에게 누가 녹음할 수 있고, 누가 스크립트에 접근할 수 있으며, 데이터가 어디에 저장되는지에 대한 세분화된 제어 권한을 제공합니다.
유형: 웹 앱 + 봇 | 가격: 무료 / $10/월 Pro / $19/월 Business | 처리: 클라우드 (EU 옵션 사용 가능)
개인정보 보호 기능: EU 데이터 상주 옵션, 자동 삭제 정책 (7-365일), 역할 기반 권한, 관리자 감사 로그, DPA 이용 가능, SOC 2 Type II
장점: 자동 회의 녹음, CRM 통합, 검색 가능한 스크립트, 유료 요금제에서 무제한 저장 공간, 팀 협업 기능
단점: EU 상주는 Business 요금제에서만 가능, 봇이 침입적일 수 있음 (기본적으로 모든 회의에 참여), 제한된 무료 계층 (800분/월)
Grain - 최고의 동의 알림
Grain은 우리가 테스트한 참여자 알림 시스템 중 가장 명확했습니다. 모든 녹음은 “이 회의는 녹음 중입니다”라는 영구적인 배너를 표시하고 회의 중 알림을 보냅니다.
유형: 웹 앱 + 봇 | 가격: 무료 / $19/월 Starter | 처리: 클라우드 (미국)
개인정보 보호 기능: 자동 삭제 정책 (30-90일), 동의 알림, 참여자 알림, 관리자 제어, DPA 이용 가능, SOC 2 Type II
장점: 깔끔한 UI, 우수한 동의 UX, 자동 하이라이트, 50개 이상의 도구와 통합, 비디오 + 스크립트 녹화
단점: 미국 기반 처리만 가능, EU 데이터 상주 불가, 제한된 무료 계층 (25개 녹화), 경쟁사보다 높은 가격대
tldv - 최고의 EU 데이터 상주
tldv는 무료 계층을 포함한 모든 요금제에서 EU 데이터 상주를 제공하여 가장 접근하기 쉬운 GDPR 준수 옵션입니다.
유형: 웹 앱 + Chrome 확장 프로그램 | 가격: 무료 / $20/월 Pro | 처리: 클라우드 (EU 옵션)
개인정보 보호 기능: EU 데이터 상주 (모든 요금제), 구성 가능한 자동 삭제, DPA 이용 가능, SOC 2 Type II, 참여자 동의 알림
장점: 무료 계층에 EU 호스팅 포함, 무료 요금제에서 무제한 녹화 및 저장, 회의 하이라이트, AI 요약, 다국어 지원
단점: 봇을 회의에 수동으로 추가해야 함 (자동 참여 없음), 경쟁사보다 느린 스크립트 작성, 무료 계층에서 제한된 통합
규정을 준수하는 AI 전사 구현 방법
다음은 단계별 규정 준수 로드맵입니다:
1단계: 데이터 보호 영향 평가(DPIA) 수행
직원 음성 데이터를 대규모로 처리하는 경우 GDPR 제35조에 따라 DPIA가 필요합니다. 다음을 문서화하세요:
- 어떤 데이터를 수집하는지 (음성 녹음, 텍스트 기록, 발화자 이름)
- 왜 수집하는지 (사업적 정당성)
- 직원 개인 정보 보호에 대한 위험
- 완화 조치 (암호화, 접근 통제, 보존 기간 제한)
- 필요성 분석 (더 적은 데이터로 목표를 달성할 수 있는가?)
데이터 보호 책임자(DPO) 또는 법무팀에 문의하세요.
2단계: 법적 근거 선택
정당한 이익(제6조 1항 (f)) 또는 동의(제6조 1항 (a)) 중 어떤 것을 사용할지 결정하세요.
정당한 이익: 문서화된 LIA가 필요합니다. 참여가 업무의 일부인 운영 회의에 더 적합합니다.
동의: 옵트인 워크플로우가 필요합니다. 선택 사항인 회의, 교육 세션 또는 텍스트 기록이 핵심 사업 운영에 해당하지 않는 상황에 더 적합합니다.
3단계: 개인 정보 보호 정책 업데이트
회의 녹음 및 텍스트 기록에 대한 섹션을 추가합니다. 다음을 포함하세요:
- 사용하는 도구 (벤더 이름)
- 데이터가 처리되는 위치 (국가, 클라우드 제공업체)
- 보존 기간 (구체적인 일정)
- 접근 통제 (누가 텍스트 기록을 볼 수 있는지)
- 직원 권리 (접근, 삭제 또는 이의 제기 방법)
녹음을 시작하기 전에 모든 직원이 접근할 수 있도록 하세요.
4단계: 동의 워크플로우 구현
동의를 법적 근거로 사용하는 경우:
- 무엇이 녹음될 것인지 설명하는 회의 전 알림을 보냅니다
- 옵트아웃 메커니즘을 제공합니다
- 동의를 문서화합니다 (타임스탬프, 직원 ID, 회의 ID)
- 거부하는 직원을 위해 대체 참여 방법을 제공합니다
5단계: 자동 삭제 정책 구성
텍스트 기록 도구에 보존 규칙을 설정합니다:
- 일일 스탠드업 회의의 경우 7일
- 대부분의 운영 회의의 경우 30일
- 프로젝트 관련 콘텐츠의 경우 90일
- HR/법률 관련 문제에 대한 맞춤형 보존 (정당한 사유와 함께)
자동 삭제가 실제로 작동하는지 테스트하십시오. 많은 도구가 자동 삭제를 주장하지만 수동 트리거가 필요합니다.
6단계: 데이터 처리 계약(DPA) 서명
클라우드 기반 도구를 사용하는 경우, 귀하는 데이터 관리자이고 공급업체는 데이터 처리자입니다. GDPR 제28조는 서면 DPA를 요구합니다.
다음으로부터 DPA를 요청하세요:
- Otter.ai, Fireflies.ai, Grain, tldv (모두 제공함)
- 귀하의 화상 회의 공급업체 (Zoom, Teams, Meet)
- 회의록이 저장되는 모든 클라우드 저장소 (Google Drive, OneDrive, Dropbox)
7단계: 관리자와 직원 교육
대부분의 규정 미준수 사례는 사용자들이 규칙을 모르기 때문에 발생합니다. 다음 사항에 대해 교육을 제공하세요:
- 녹음이 허용되는 경우와 허용되지 않는 경우
- 동의를 얻는 방법
- 회의록에서 공유할 수 있는 내용과 공유할 수 없는 내용
- 정보 주체 접근 요청 처리 방법
- 보존 정책
정기적인 교육(최소 연 1회)으로 만드세요.
ScreenApp 활용법
저희는 이러한 규정 준수 문제를 해결하기 위해 ScreenApp을 특별히 개발했습니다. 다음은 개인 정보 보호를 준수하는 방식으로 사용하는 방법입니다:
- 민감한 회의(HR, 법률, 성과 평가)를 위해 온디바이스 전사 기능 활성화
- 귀사가 GDPR 적용 대상인 경우 EU 데이터 상주 사용
- 대부분의 회의에 대해 자동 삭제를 30일로 설정 (장기 보존이 필요 없는 경우 더 짧게 설정)
- 최대 개인 정보 보호를 위해 제로 데이터 보존 모드 활성화 (전사본이 브라우저를 떠나지 않음)
- 누가 전사본을 볼 수 있는지 제한하기 위해 역할 기반 접근 제어 사용
선택 사항: 사용자 지정 보존 워크플로우를 구축하고 규정 준수 시스템과 통합하기 위해 API 접근($19/월)을 활성화하세요.
구현 후
규정을 준수하는 전사 시스템이 구축되면:
- AI 회의록 작성기: 규정을 준수하는 전사본에서 구조화된 노트 생성
- 비디오 요약기: 한 시간짜리 회의를 2분 요약으로 변환
- 비디오를 문서로: 기록 보존을 위해 타임스탬프가 포함된 전사본 내보내기
FAQ
직원 동의 없이 회의를 전사할 수 있나요?
GDPR에 따라, 법적 근거(제6조) 또는 동의가 필요합니다. 합법적 이익(제6조 (1) (f))은 전사가 문서화된 비즈니스 목적에 부합하는 운영 회의에 충분할 수 있습니다. 그러나 여전히 직원에게 통지하고 이의를 제기할 수 있도록 허용해야 합니다. 독일, 프랑스, 오스트리아에서는 노사 협의회가 법적 근거와 관계없이 명시적 동의를 요구하는 경우가 많습니다.
개인 정보 보호 측면에서 기기 내(on-device) 전사 및 클라우드 전사의 차이점은 무엇인가요?
기기 내 전사는 컴퓨터에서 오디오를 로컬로 처리합니다. 오디오가 기기를 벗어나지 않으므로, 제3자 접근, 국경 간 데이터 전송 및 공급업체 보안 위험이 없습니다. 클라우드 전사는 오디오를 제3자 서버(일반적으로 AWS 또는 Google Cloud)로 전송하며, 이는 데이터 처리 계약(DPA)을 요구하고, GDPR 전송 의무를 발생시키며, 공급업체 보안 관행에 의존합니다.
GDPR에 따라 회의록을 얼마나 오래 보관할 수 있나요?
GDPR 제5조 제1항 (e)호는 저장 제한을 요구합니다: 데이터를 수집한 목적에 필요한 기간 동안만 보관할 수 있습니다. 실행 항목 추적의 경우 30일이 적절합니다. 프로젝트 문서화의 경우 90일이 적절합니다. HR 또는 법적 문제의 경우, 고용법에 따라 3-7년이 필요할 수 있습니다. 보관 사유를 문서화하고 자동 삭제 정책을 구현해야 합니다.
전사 서비스 공급업체와 데이터 처리 계약(DPA)을 맺어야 하나요?
네, 공급업체가 귀사를 대신하여 직원 데이터를 처리하는 경우(GDPR 제28조) 필요합니다. Otter.ai, Fireflies.ai, Rev.ai, Grain과 같은 클라우드 기반 도구는 모두 DPA가 필요합니다. 공급업체는 표준 DPA 템플릿을 제공해야 합니다. 데이터 위치, 하위 처리자, 보안 조치, 침해 통지 및 데이터 삭제 의무를 다루는지 확인하기 위해 검토하십시오.
직원이 자신의 전사 데이터 삭제를 요청하면 어떻게 되나요?
GDPR 제17조에 따라 직원은 삭제할 권리가 있습니다. 고용법, 진행 중인 법적 절차 등 데이터를 보관할 법적 의무가 없는 한, 30일 이내에 해당 데이터를 삭제해야 합니다. 여기에는 전사 파일, 오디오 파일 및 모든 백업 삭제가 포함됩니다. 삭제 요청을 문서화하고 직원에게 서면으로 완료를 확인해야 합니다.
동의 없이 Zoom 통화를 녹화하는 것이 불법인가요?
이는 관할권에 따라 다릅니다. GDPR이 적용되는 EU에서는 법적 근거(동의 또는 정당한 이익)가 필요하며 참가자에게 통지해야 합니다. 미국에서는 연방법상 한 당사자(녹음자)가 동의하면 녹음이 허용되지만, 11개 주(캘리포니아, 코네티컷, 플로리다, 일리노이, 메릴랜드, 매사추세츠, 미시간, 몬태나, 뉴햄프셔, 펜실베이니아, 워싱턴)는 모든 당사자의 동의를 요구합니다. 녹화하기 전에 현지 법률을 확인하십시오.
ChatGPT 또는 Claude를 사용하여 회의록을 분석할 수 있나요?
가능할 수도 있지만 주의해야 합니다. 회의록을 OpenAI나 Anthropic으로 보내는 것은 직원 음성 데이터가 미국 기반의 제3자에 의해 처리된다는 것을 의미합니다. GDPR에 따라 이는 표준 계약 조항(SCC) 및 이전 영향 평가(TIA)가 필요한 국경 간 데이터 전송입니다. 두 공급업체 모두 DPA를 제공하지만, 준수에 대한 책임은 여전히 귀하에게 있습니다. 민감한 데이터의 경우 온디바이스 AI 모델 또는 EU 호스팅 대안을 사용하는 것을 고려하십시오.