Problem za koji nisi znao da ga imaš
Ako tvoja tvrtka šalje račune, narudžbe, otpremnice ili bilo koji dokument s podacima klijenata putem konvencionalne aplikacije za poruke, ti podaci prolaze kroz servere koji vjerojatno nisu u Europi. Ili ako jesu, pripadaju tvrtki koja podliježe stranom zakonodavstvu. GDPR ima nešto za reći o tome.
Europski propisi o zaštiti podataka zahtijevaju da znaš gdje su tvoji podaci, tko im ima pristup i pod čijom nadležnošću. Kada koristiš aplikaciju za poruke s centralnim serverom, tvoji dokumenti prolaze kroz infrastrukturu koju ne kontroliraš. Podaci tvojih klijenata pohranjuju se — čak i privremeno — na strojevima druge tvrtke, u drugoj državi, pod drugim zakonima.
Što se mijenja kad nema servera
U komunikaciji ravnopravnih sudionika, podaci idu izravno s uređaja pošiljatelja na uređaj primatelja. Ne prolaze kroz nikakav posrednički server. Ne pohranjuju se na infrastrukturi treće strane. Dokument napušta tvoje računalo u Lugu i stiže na računalo tvog klijenta u Barceloni. Ili Berlinu. Ili Lisabonu. Ali nikada ne prolazi kroz Silicon Valley.
Ovo nije beznačajan tehnički detalj. Ovdje usklađenost s GDPR-om ne nastaje trudom i dobrom voljom. Nastaje zato što arhitektura čini kršenje nemogućim. Nema međunarodnog prijenosa podataka jer nema prijenosa trećoj strani. Podaci su na tvom uređaju i uređaju tvog sugovornika. Nigdje drugdje.
Koga se to tiče
Ako si odvjetnik koji šalje ugovor klijentu putem poruka, podaci tog ugovora prolaze kroz server. Ako si porezni savjetnik koji dijeli poreznu prijavu, ti podaci prolaze kroz server. Ako si liječnik koji šalje nalaz pacijentu, zdravstveni podaci prolaze kroz server. U svim tim slučajevima, delegiraš čuvanje povjerljivih informacija tvrtki koju nisi odabrao i koju ne kontroliraš.
Nije da namjerno radiš nešto krivo. Alat koji koristiš ti ne daje drugu mogućnost. Jedini način da tvoji profesionalni podaci ne prolaze kroz servere treće strane jest da komunikacija bude izravna. Bez posrednika. S tvog ekrana na njihov.
Automatska usklađenost
S P2P komunikacijom, ne trebaš provjeravati gdje se nalaze serveri tvog pružatelja poruka. Ne trebaš provjeravati usklađenost s Privacy Shieldom ili standardnim ugovornim klauzulama EU-a. Ne trebaš dodavati klauzulu u svoju politiku privatnosti koja objašnjava da se tvoji podaci 'mogu obrađivati izvan Europskog gospodarskog prostora'. Ništa od toga se ne primjenjuje, jer nijedna treća strana ne obrađuje tvoje podatke.
Usklađenost ne ovisi o ničijoj dobroj volji. Ne ovisi o ugovoru o obradi podataka s pružateljem. Ne ovisi o američkoj tvrtki koja održava svoju predanost europskom zakonodavstvu. Ovisi o arhitekturi. A arhitektura je provjerljiva, nepromjenjiva i ne mijenja mišljenje.
Pitanje za tvoju sljedeću reviziju
Sljedeći put kad te netko upita gdje su podaci tvojih klijenata, najbolji mogući odgovor je: 'Na mom uređaju i na njihovom. Nigdje drugdje.' Nije potrebno izvješće od sto stranica. Nije potreban DPO koji pregledava ugovore s pružateljima. Privatnost podataka tvojih klijenata zajamčena je dizajnom, a ne obećanjima.