Problém, o kterém jste nevěděli
Pokud vaše firma posílá faktury, objednávky, dodací listy nebo jakýkoli dokument obsahující data klientů prostřednictvím běžné aplikace pro zasílání zpráv, tato data procházejí servery, které pravděpodobně nejsou v Evropě. Nebo pokud ano, patří společnosti podléhající zahraniční legislativě. GDPR k tomu má co říct.
Evropské předpisy o ochraně údajů vyžadují vědět, kde jsou vaše data, kdo k nim má přístup a pod jakou jurisdikcí. Když používáte aplikaci pro zasílání zpráv s centrálním serverem, vaše dokumenty procházejí infrastrukturou, kterou nekontrolujete. Data vašich klientů jsou uložena — i když dočasně — na strojích patřících jiné společnosti, v jiné zemi, pod jinými zákony.
Co se změní, když není server
Při komunikaci peer-to-peer data putují přímo ze zařízení odesílatele na zařízení příjemce. Neprocházejí žádným prostředním serverem. Nejsou uložena na žádné infrastruktuře třetí strany. Dokument opustí váš počítač v Lugu a dorazí na počítač vašeho klienta v Barceloně. Nebo v Berlíně. Nebo v Lisabonu. Ale nikdy neprojde přes Silicon Valley.
To není nepodstatný technický detail. Zde se soulad s GDPR nedosahuje úsilím a dobrou vůlí. Dosahuje se tím, že architektura znemožňuje porušení. Neexistuje mezinárodní přenos dat, protože neexistuje přenos žádné třetí straně. Data jsou na vašem zařízení a na zařízení vašeho protějšku. Nikde jinde.
Koho se to týká
Pokud jste advokát posílající smlouvu klientovi přes zprávy, data této smlouvy procházejí serverem. Pokud jste daňový poradce sdílející daňové přiznání, tato data procházejí serverem. Pokud jste lékař posílající zprávu pacientovi, zdravotní údaje procházejí serverem. Ve všech těchto případech delegujete správu důvěrných informací na společnost, kterou jste si nevybrali a nekontrolujete.
Nejde o to, že byste záměrně dělali něco špatně. Jde o to, že nástroj, který používáte, vám nedává jinou možnost. Jediný způsob, jak vaše profesní data nemusejí procházet servery třetích stran, je přímá komunikace. Bez prostředníků. Z vaší obrazovky na jejich.
Automatický soulad
S P2P komunikací nemusíte auditovat, kde jsou servery vašeho poskytovatele zpráv. Nemusíte ověřovat soulad s Privacy Shield ani se standardními smluvními doložkami EU. Nemusíte do své zásady ochrany osobních údajů přidávat doložku vysvětlující, že vaše data 'mohou být zpracovávána mimo Evropský hospodářský prostor'. Nic z toho se neuplatní, protože žádná třetí strana vaše data nezpracovává.
Soulad nezávisí na dobré vůli nikoho. Nezávisí na dohodě o zpracování dat s poskytovatelem. Nezávisí na tom, zda americká společnost dodrží svůj závazek vůči evropské legislativě. Závisí na architektuře. A architektura je ověřitelná, neměnná a nemění názor.
Otázka pro váš příští audit
Příště, až se vás někdo zeptá, kde jsou data vašich klientů, nejlepší možná odpověď je: 'Na mém zařízení a na jejich. Nikde jinde.' Není potřeba stostránková zpráva. Není potřeba DPO kontrolující smlouvy s poskytovateli. Ochrana dat vašich klientů je zaručena designem, nikoli sliby.