Transkripsiyon Hizmetinize Sormanız Gereken 5 Soru

Bir kayıt yüklersiniz, yapay zekâ transkribe eder ve birkaç dakika sonra transkriptiniz hazır olur. Süreç basit görünür – ama yükleme ile sonuç arasında ne olur? Verilerinize kimin erişimi var? Nerede saklanıyorlar? Ve bir noktada siliniyorlar mı?

Bu beş soru, gizli içerikleri yüklemeden önce bir transkripsiyon hizmetinin veri koruma uygulamalarını değerlendirmenize yardımcı olur.

Soru 1: “Verilerim nerede işleniyor ve saklanıyor?”

Bu neden önemli: İşleme yeri, verilerinizin hangi hukuk sistemine tabi olduğunu belirler. ABD sunucuları, CLOUD Act ve AB mahkemesi kararı olmaksızın olası resmi erişim anlamına gelir.

Birçok transkripsiyon hizmeti verileri ABD’de saklar. Bu, veri koruma hukuku açısından sorunludur: ABD CLOUD Act resmi erişime izin verirve AB-ABD veri aktarımlarının hukuki dayanağı defalarca iptal edildi (Safe Harbor 2015, Privacy Shield 2020).

İyi yanıt: “Sunucularımız AB’de bulunur, ISO-27001 sertifikalı Avrupalı bir şirket tarafından işletilir.”

Kötü yanıt: “AB bölgelerine sahip AWS/Google Cloud kullanıyoruz.” (Yine de ABD şirketi, yine de CLOUD Act.)

Soru 2: “Transkriptlerimi kim okuyabilir?”

Bu neden önemli: Sağlayıcı verilerinizi açık metin olarak işliyorsa, çalışanlar, yöneticiler veya saldırganlar bunları potansiyel olarak görüntüleyebilir – sağlayıcı bunu istemese bile.

Belirleyici soru, sağlayıcının verilerinizi okumak isteyipistemediği değil, bunu teknik olarak yapıp yapamayacağıdır. Sunucu tarafı şifrelemede anahtar sağlayıcıdadır. İstemci tarafı şifrelemede anahtar yalnızca kullanıcıdadır.

İyi yanıt: “Transkriptlerinizi okuyamayız. Şifreleme tarayıcınızda gerçekleşir ve anahtar yalnızca sizdedir.”

Kötü yanıt: “Verileriniz özel ve gizlidir. Transkriptlerinizi yalnızca siz görebilirsiniz.” (Kaçamak – teknik erişim hakkında hiçbir şey söylemiyor.)

Soru 3: “Ses dosyalarıma transkripsiyondan sonra ne olur?”

Bu neden önemli: İşlemeden sonra sunucularda kalan ses kayıtları kalıcı bir saldırı riskidir. Veri tasarrufu yalnızca bir GDPR ilkesi değil, aynı zamanda pratik bir korumadır.

Bazı hizmetler özgün kayıtları kalıcı olarak saklar. Bu, GDPR’ın veri tasarrufu ilkesine (Md. 5 fıkra 1 lit. c) aykırıdır ve saldırı yüzeyini büyütür: Daha fazla saklanan veri, bir sızıntıda daha fazla potansiyel zarar demektir.

İyi yanıt: “Özgün kayıtlar transkriptten sonra otomatik olarak silinir. Yalnızca şifrelenmiş bir oynatma sürümü kalır.”

Kötü yanıt: “Dosyalarınızı istediğiniz zaman silebilirsiniz.” (Yani: Siz silmediğiniz sürece özgün dosyalar sunucuda kalır.)

Soru 4: “Çerez veya izleme araçları kullanıyor musunuz?”

Bu neden önemli: Çerezler ve izleyiciler kullanım kalıplarını ele verir ve içeriğe ilişkin çıkarımlara olanak tanıyabilir. Google Analytics veya Facebook Pixel kullanan bir hizmet, kullanım verilerini ABD şirketleriyle paylaşır.

Transkripsiyon platformlarındaki izleme araçları özellikle sorunludur: Hangi dosyaları ne zaman yüklediğinizi, düzenlediğinizi ve dışa aktardığınızı belgelerler. Dosya adlarıyla (çoğu hizmette açık metin olarak görünür) birleştiğinde ayrıntılı bir kullanım profili oluşur.

İyi yanıt: “Çerez ve izleme aracı kullanmıyoruz. Kimlik doğrulama, tarayıcıdaki güvenli token’lar üzerinden yürür.”

Kötü yanıt: “Çerez politikamıza uygun olarak çerez kullanıyoruz.” (Mimari kararlar yerine hukuki bir metne atıfta bulunur.)

Soru 5: “Verilerim yapay zekâ modellerini eğitmek için kullanılıyor mu?”

Bu neden önemli: Kayıtlarınız eğitime dahil olursa, modelin bir parçası olur – ve böylece başka kullanıcılara verilen sonuçlarda potansiyel olarak yeniden ortaya çıkabilir. Özgün verilerin silinmesi o noktada artık yardımcı olmaz.

Bazı sağlayıcılar kullanım koşullarını bilinçli olarak belirsiz ifade eder: “Verilerinizi hizmetlerimizi iyileştirmek için kullanabiliriz.” İstemci tarafı şifrelemede, kullanıcı verileriyle yapay zekâ eğitimi teknik olarak imkânsızdır – sunucu yalnızca şifrelenmiş veri blokları görür.

İyi yanıt: “Hayır. Müşteri verileriyle model eğitmiyoruz. Mimarimiz bunu teknik olarak imkânsız kılar.”

Kötü yanıt: “Hayır.” (Teknik bir açıklama olmadan – saf bir güven sorusu.)

Özet

• Konum: AB veri merkezi ve ISO-27001 sertifikasına sahip AB şirketi.
• Şifreleme: Yalnızca sunucu tarafında değil, tarayıcıda istemci tarafında.
• Veri tasarrufu: Özgün dosyalar işlemeden sonra silinir.
• Çerez yok, izleme yok: Yalnızca bir çerez afişiyle değil, mimari olarak dışlanmış.
• Yapay zekâ eğitimi yok: Yalnızca vaat edilmiş değil, teknik olarak imkânsız.

Bu beş soru, veri korumasını ciddiye alan hizmetleri yalnızca reklamını yapanlardan ayırır. Fark yanıtlarda değil – arkalarındaki mimaridedir.