مشکلی که نمیدانستید دارید
اگر شرکت شما فاکتورها، سفارشها، بارنامهها یا هر سندی حاوی اطلاعات مشتریان را از طریق یک اپلیکیشن پیامرسان معمولی ارسال میکند، آن دادهها از سرورهایی عبور میکنند که احتمالاً در اروپا نیستند. یا اگر هستند، متعلق به شرکتی هستند که تابع قوانین خارجی است. GDPR در این باره حرفی برای گفتن دارد.
مقررات حفاظت از دادههای اروپایی ایجاب میکند که بدانید دادههایتان کجاست، چه کسی به آنها دسترسی دارد و تحت چه حوزه قضایی. وقتی از یک اپلیکیشن پیامرسان با سرور مرکزی استفاده میکنید، اسناد شما از زیرساختی عبور میکنند که کنترلی بر آن ندارید. دادههای مشتریان شما ذخیره میشوند — حتی اگر موقتاً — روی ماشینهایی متعلق به شرکتی دیگر، در کشوری دیگر، تحت قوانینی دیگر.
وقتی سروری وجود ندارد چه تغییر میکند
در یک ارتباط نظیر-به-نظیر، دادهها مستقیماً از دستگاه فرستنده به دستگاه گیرنده میروند. از هیچ سرور واسطهای عبور نمیکنند. روی هیچ زیرساخت شخص ثالثی ذخیره نمیشوند. سند از رایانه شما در لوگو خارج میشود و به رایانه مشتری شما در بارسلونا میرسد. یا برلین. یا لیسبون. اما هرگز از Silicon Valley عبور نمیکند.
این یک جزئیات فنی کماهمیت نیست. اینجا، انطباق با GDPR از طریق تلاش و حسن نیت حاصل نمیشود. بلکه حاصل میشود چون معماری نقض را غیرممکن میسازد. انتقال بینالمللی داده وجود ندارد چون انتقالی به هیچ شخص ثالثی وجود ندارد. دادهها روی دستگاه شما و دستگاه طرف مقابل شماست. هیچ جای دیگر.
این برای چه کسی مهم است
اگر وکیلی هستید که قراردادی را از طریق پیامرسان به موکل ارسال میکنید، دادههای آن قرارداد از سرور عبور میکنند. اگر مشاور مالیاتی هستید که اظهارنامه مالیاتی به اشتراک میگذارید، آن دادهها از سرور عبور میکنند. اگر پزشکی هستید که گزارشی به بیمار ارسال میکنید، دادههای سلامت از سرور عبور میکنند. در همه این موارد، نگهبانی اطلاعات محرمانه را به شرکتی واگذار میکنید که انتخابش نکردهاید و کنترلی بر آن ندارید.
مسئله این نیست که عمداً کار اشتباهی انجام میدهید. مسئله این است که ابزاری که استفاده میکنید گزینه دیگری به شما نمیدهد. تنها راه برای اینکه دادههای حرفهای شما از سرورهای اشخاص ثالث عبور نکنند، این است که ارتباط مستقیم باشد. بدون واسطه. از صفحهنمایش شما به صفحهنمایش آنها.
انطباق خودکار
با ارتباط P2P، نیازی به بررسی محل سرورهای ارائهدهنده پیامرسان خود ندارید. نیازی به تأیید انطباق با Privacy Shield یا بندهای قراردادی استاندارد اتحادیه اروپا ندارید. نیازی به افزودن بندی در سیاست حریم خصوصی خود ندارید که توضیح دهد دادههای شما 'ممکن است خارج از منطقه اقتصادی اروپا پردازش شوند'. هیچکدام از اینها صدق نمیکند، چون هیچ شخص ثالثی دادههای شما را پردازش نمیکند.
انطباق به حسن نیت هیچکس بستگی ندارد. به توافقنامه پردازش داده با ارائهدهنده بستگی ندارد. به اینکه شرکتی آمریکایی تعهد خود به قوانین اروپایی را حفظ کند بستگی ندارد. به معماری بستگی دارد. و معماری قابل تأیید، تغییرناپذیر است و نظرش عوض نمیشود.
سؤال برای ممیزی بعدی شما
دفعه بعد که کسی از شما بپرسد دادههای مشتریانتان کجاست، بهترین پاسخ ممکن این است: 'روی دستگاه من و روی دستگاه آنها. هیچ جای دیگر.' نیازی به گزارش صدصفحهای نیست. نیازی به DPO برای بررسی قراردادهای ارائهدهندگان نیست. حریم خصوصی دادههای مشتریان شما با طراحی تضمین شده است، نه با وعدهها.