GDPR og møteopptak: hva må norske bedrifter passe på?

GDPR krever at du har en god grunn — et «behandlingsgrunnlag» — for å ta opp og lagre møter.

• Samtykke er vanligst for interne og eksterne møter — alle deltakere skal vite at det tas opp.
• Berettiget interesse kan brukes for f.eks. salgsmøter, men krever en avveining mot personvernet.
• Avtalegrunnlag kan være aktuelt når referatet er nødvendig for å oppfylle en avtale med kunden.

Skjult opptak er nesten alltid problematisk. Vær åpen.

• Si tydelig fra at møtet tas opp og hva opptaket skal brukes til.
• Gi deltakerne mulighet til å reservere seg — særlig i eksterne møter.
• Ha en kort personvernerklæring tilgjengelig som forklarer lagring og deling.

GDPR krever at du ikke lagrer mer eller lenger enn nødvendig.

• Sett en konkret oppbevaringstid — for eksempel 12 måneder for transkripsjoner.
• Slett opptak når referatet er ferdig, hvis du ikke trenger lyden videre.
• Begrens hvem i bedriften som har tilgang. Tilgangsstyring er ikke valgfritt.

Hvor AI-leverandøren faktisk kjører dataene har stor betydning for GDPR-vurderingen.

• Behandling i EU/EØS er enklest å forsvare og krever færrest tilleggsvurderinger.
• Overføring til land utenfor EØS krever et lovlig overføringsgrunnlag (f.eks. SCC).
• Spør leverandøren konkret hvor lyd, transkripsjon og AI-prompter prosesseres.

Vi har designet Call Notes med personvern som premiss, ikke som ettertanke.

• Opptak ligger i privat lagring, kun tilgjengelig via tidsbegrensede signerte lenker.
• Tilgang styres på rad-nivå i databasen — du ser bare det du skal se.
• Hver bedrift bestemmer selv oppbevaringstid og hvem som er administrator.