Проблемът, за който не знаехте
Ако компанията ви изпраща фактури, поръчки, товарителници или какъвто и да е документ, съдържащ клиентски данни, чрез конвенционално приложение за съобщения, тези данни преминават през сървъри, които вероятно не са в Европа. Или ако са, те принадлежат на компания, подчинена на чуждо законодателство. GDPR има какво да каже по въпроса.
Европейските регулации за защита на данните изискват да знаете къде са данните ви, кой има достъп до тях и под чия юрисдикция. Когато използвате приложение за съобщения с централен сървър, документите ви преминават през инфраструктура, която не контролирате. Данните на клиентите ви се съхраняват — дори временно — на машини, принадлежащи на друга компания, в друга държава, под други закони.
Какво се променя, когато няма сървър
При комуникация от точка до точка данните отиват директно от устройството на подателя до устройството на получателя. Не преминават през никакъв междинен сървър. Не се съхраняват на никаква инфраструктура на трети страни. Документът напуска компютъра ви в Луго и пристига на компютъра на клиента ви в Барселона. Или Берлин. Или Лисабон. Но никога не преминава през Silicon Valley.
Това не е маловажен технически детайл. Тук съответствието с GDPR не се постига чрез усилия и добра воля. То се постига, защото архитектурата прави нарушението невъзможно. Няма международен трансфер на данни, защото няма трансфер към трета страна. Данните са на вашето устройство и на устройството на отсрещната страна. Никъде другаде.
За кого е важно това
Ако сте адвокат, изпращащ договор на клиент чрез съобщения, данните на този договор преминават през сървър. Ако сте данъчен консултант, споделящ данъчна декларация, тези данни преминават през сървър. Ако сте лекар, изпращащ доклад на пациент, здравните данни преминават през сървър. Във всички тези случаи делегирате попечителството на поверителна информация на компания, която не сте избрали и не контролирате.
Не че правите нещо нередно нарочно. А че инструментът, който използвате, не ви дава друга възможност. Единственият начин професионалните ви данни да не преминават през сървъри на трети страни е комуникацията да е директна. Без посредници. От вашия екран до техния.
Автоматично съответствие
С P2P комуникация не е нужно да проверявате къде са сървърите на доставчика на съобщения. Не е нужно да проверявате съответствието с Privacy Shield или стандартните договорни клаузи на ЕС. Не е нужно да добавяте клауза в политиката за поверителност, обясняваща, че данните ви 'могат да бъдат обработвани извън Европейското икономическо пространство'. Нищо от това не се прилага, защото никоя трета страна не обработва данните ви.
Съответствието не зависи от добрата воля на никого. Не зависи от споразумение за обработка на данни с доставчик. Не зависи от поддържането на ангажимента на американска компания към европейското законодателство. Зависи от архитектурата. А архитектурата е проверима, неизменна и не си променя мнението.
Въпросът за следващия ви одит
Следващия път, когато някой ви попита къде са данните на клиентите ви, най-добрият възможен отговор е: 'На моето устройство и на тяхното. Никъде другаде.' Не е нужен доклад от сто страници. Не е нужен DPO, преглеждащ договори с доставчици. Поверителността на данните на клиентите ви е гарантирана по дизайн, а не по обещания.