Інструменти ШI-транскрипції обіцяють ефективність, але несуть правові ризики, ризики спостереження та загрози фундаментальним правам.
Аїда Понсе Дель Кастільйо
21 січня 2026
Інструменти ШI-транскрипції все частіше впроваджуються у робочі процеси. Ці продукти можуть приєднуватися до відеоконференцій на платформах, таких як Zoom, Microsoft Teams або Google Meet, записувати та транскрибувати розмови в реальному часі, а також синхронізуватися з календарями та іншими додатками. Позиціонуючись як засоби підвищення продуктивності, їх використання створює значні ризики для захисту даних та управління ШI — як для працівників, так і для роботодавців.
Розгляньмо Otter.ai як приклад. Згідно з документацією Otter.ai, сервіс може приєднуватися до онлайн-зустрічей як учасник і надавати транскрипцію в прямому ефірі. Він автоматично синхронізується з календарями Microsoft Outlook або Google і може почати запис без будь-яких дій користувача. Що важливо, Otter.ai покладає відповідальність на власника акаунта за отримання дозволу від інших учасників. Це означає, що одна особа може ініціювати запис або транскрипцію зустрічі без відома чи згоди інших. Усі записані дані передаються, зберігаються та обробляються на серверах у США.
Правове мінне поле під покровом зручності
Декілька положень Загального регламенту захисту даних (GDPR) безпосередньо задіяні, починаючи з правової основи. Модель роботи Otter.ai покладається на те, що один учасник отримує дозвіл для всіх інших. Відповідно до статей 6 і 7 GDPR, це навряд чи може становити дійсну згоду. Згода має бути інформованою, конкретною та добровільною — вимоги, які не можуть бути виконані через делегування одному учаснику зустрічі. Настанови наглядових органів також підкреслюють, що в контексті трудових відносин дисбаланс влади робить згоду працівника недійсною.
Обробка спеціальних категорій даних є другим предметом занепокоєння. Зустрічі часто стосуються питань профспілок, питань відділу кадрів або інформації про здоров’я. Обробка таких даних заборонена відповідно до статті 9 GDPR, якщо не застосовується вузьке виключення. По-третє, постає питання прозорості: статті 13 і 14 GDPR вимагають інформування суб’єктів даних. «Тихий» бот-транскрибатор робить це неможливим на практиці.
По-четверте, міжнародні передачі створюють значні труднощі. Усі дані передаються до Сполучених Штатів. Після рішення Суду юстиції у справі Schrems II (C-311/18) такі передачі дозволені лише в рамках рамок EU–US Data Privacy Framework або з додатковими гарантіями. Враховуючи конфіденційність розмов на робочому місці, покладання лише на стандартні договірні положення може виявитися недостатнім.
По-п’яте, вимоги безпеки згідно зі статтею 32 GDPR вимагають належних технічних та організаційних заходів. Автоматична синхронізація з календарями та програмним забезпеченням для зустрічей надає Otter.ai широкий доступ до організаційних систем — доступ, про який IT-відділ може навіть не знати, коли окремі користувачі встановлюють такі інструменти. Відповідність нормам не може бути продемонстрована, коли сторонні інструменти AI отримують доступ до внутрішньої інфраструктури без належного контролю. По-шосте, якщо зустрічі були записані або транскрибовані без відома учасників, це може становити порушення захисту персональних даних відповідно до статей 33 і 34 GDPR, що спричиняє зобов’язання повідомити наглядовий орган, а в деяких випадках і самих суб’єктів даних.
Ризики судових позовів поширюються за межі Європи. У серпні 2025 року у Окружному суді США Північного округу Каліфорнії було подано колективний позов (Brewer v. Otter.ai, Inc., Case No. 5:25-cv-06911). Позивач стверджує, що Otter.ai записує та транскрибує розмови користувачів, які не є її клієнтами, без їхнього відома чи згоди, та використовує ці дані для навчання своїх машинних моделей. 22 жовтня 2025 року суд об’єднав позови, і справа залишається на ранній стадії управління. На наступному етапі Otter.ai потрібно буде відповісти на об’єднаний позов.
У позові зазначено: «Otter не отримує попередньої згоди, прямої чи іншої, осіб, які відвідують зустрічі, де активовано Otter Notetaker, перед записом, доступом, читанням та вивченням вмісту розмов Otter». Брюер також стверджує, що, не будучи користувачем Otter, він не мав підстав підозрювати, що його розмовні дані будуть збережені та оброблені компанією. Computerworld описав цей позов як частину «широкого розплати» для корпоративних додатків ШI для нотаток. Правові вимоги включають порушення Закону про конфіденційність електронних комунікацій, Каліфорнійського закону про вторгнення в приватність та Закону про шахрайство та зловживання комп’ютерами, а також звичайних правопорушень приватності. Хоча ці статути відрізняються від GDPR, фактичні звинувачення відображають ті самі проблеми: відсутність дійсної правової основи, неналежне покладання на згоду третьої сторони та непрозоре використання даних для навчання ШI.
Для робочих місць у ЄС ця справа ілюструє судові ризики, які виникають, коли інструменти ШI для споживачів впроваджуються без надійного управління. Відповідно до статті 82 GDPR, будь-який суб’єкт даних, який зазнав матеріальної чи нематеріальної шкоди, має право на компенсацію. Тихі транскрипції робочих зустрічей можуть легко породити такі вимоги.
Регламент ЄС про ШI додає ще один шар зобов’язань щодо відповідності. Відповідно до Додатка III, системи ШI, що використовуються для управління та моніторингу працівників, класифікуються як високоризиковані. Otter.ai рекламує «аналітику настроїв» та інші функції продуктивності. У робочому середовищі вони, імовірно, потраплятимуть до категорії високого ризику. Відповідно до статей 9–15 Регламенту про ШI, такі системи будуть підлягати суворим зобов’язанням щодо управління ризиками, прозорості та людського нагляду. Організації, які їх впроваджують, нестимуть відповідальність за дотримання вимог навіть тоді, коли постачальник зареєстрований за межами ЄС.
Поза правовим аналізом очевидні кілька практичних ризиків.
Автоматична транскрипція створює запис кожного висловлювання; для працівників це не відрізнити від постійного моніторингу. Дослідження моніторингу на робочому місці продемонстрували стримуючий ефект такого спостереження на довіру, автономію та свободу висловлювання.
Точність та упередження становлять подальші проблеми. Помилки в ШI-транскрипції можуть спотворювати значення, особливо для носіїв інших мов або тих, хто має порушення мовлення. Дослідження Sponholz та ін. (2025) і Eftekhari та ін. (2024) показують, як неправильна транскрипція вносить упередження в дослідження — ефект, який може бути однаково шкідливим при прийнятті рішень на роботі. Вразливості безпеки посилюють ці проблеми: транскрипти та записи можуть зберігатися в кількох місцях і в деяких випадках бути доступними третім сторонам. Після створення такі записи можуть бути використані повторно або неправильно, зокрема в судових справах. Нарешті, підзвітність залишається нерозв’язаною. Управління, редагування та перевірка транскриптів вимагає додаткових ресурсів і порушує фундаментальні питання щодо відповідальності за точність запису — та наслідків, коли відбуваються помилки.
Що організації повинні зробити зараз
Для організацій ЄС необхідний надійний підхід до управління. Організації повинні покладатися лише на вбудовані корпоративні інструменти там, де оцінка впливу на захист даних підтримує їх використання. Вони повинні прийняти внутрішню політику, яка визначає, які служби запису та транскрипції можна використовувати та за яких умов. Запис повинен проводитися лише за попереднього повідомлення та явної згоди всіх учасників. Ця політика повинна поширюватися на зовнішні зустрічі та семінари, де учасники повинні бути поінформовані та мати можливість відмовитися.
Інструменти транскрипції для споживачів, такі як Otter.ai, слід заблокувати від підключення до внутрішніх систем. Там, де інструменти транскрипції авторизовані, доступ слід обмежувати, терміни зберігання скорочувати, а ефективне видалення забезпечувати. Має бути чітка заборона на використання зовнішніх служб транскрипції без попередньої згоди офіцера з захисту даних та IT-служб. Організації повинні консультуватися з представниками працівників та профспілками перед впровадженням таких технологій, відповідно до захисту даних за задумом згідно зі статтею 25 GDPR та акцентом Регламенту про ШI на людському нагляді та інформуванні працівників.
Otter.ai демонструє, наскільки легко інструменти ШI для споживачів можуть потрапити на робочі місця без перевірки. Його функції обіцяють ефективність, але на практиці вони можуть становити невідповідність GDPR, класифікацію високого ризику згідно з Регламентом про ШI та значні організаційні ризики. Позов Brewer v. Otter.ai показує, що ці ризики не є гіпотетичними, а вже матеріалізуються в суді.
Як зазначив Європейський наглядовий орган із захисту даних у своїх Настановах для генеративного ШI (2024), державні та приватні організації повинні «поставити відповідність нормам та основні права в центр цифрових інновацій». Інструменти транскрипції та нотаток не є винятком.
автор – Аїда Понсе Дель КАСТІЛЬЙО — старший дослідник Європейського інституту профспілок.
переклад ПолітКом
