A probléma, amiről nem is tudtál
Ha a céged hagyományos üzenetküldő alkalmazáson keresztül küld számlákat, megrendeléseket, szállítóleveleket vagy bármilyen ügyféladatokat tartalmazó dokumentumot, azok az adatok olyan szervereken mennek keresztül, amelyek valószínűleg nincsenek Európában. Vagy ha igen, egy külföldi jogszabályok hatálya alá tartozó céghez tartoznak. A GDPR-nek van erről mondanivalója.
Az európai adatvédelmi szabályozás megköveteli, hogy tudd, hol vannak az adataid, kinek van hozzáférése és milyen joghatóság alatt. Amikor központi szerverrel rendelkező üzenetküldőt használsz, a dokumentumaid olyan infrastruktúrán mennek keresztül, amelyet nem te irányítasz. Az ügyfeleid adatai — még ha ideiglenesen is — egy másik cég gépeire kerülnek, egy másik országban, más törvények alatt.
Mi változik, ha nincs szerver
Egy peer-to-peer kommunikációban az adatok közvetlenül a küldő eszközéről a fogadó eszközére jutnak. Nem mennek át közvetítő szerveren. Nem tárolódnak harmadik fél infrastruktúráján. A dokumentum elhagyja a számítógépedet Lugóban és megérkezik az ügyfeled számítógépére Barcelonában. Vagy Berlinben. Vagy Lisszabonban. De soha nem megy át Silicon Valley-n.
Ez nem apró technikai részlet. Itt a GDPR-megfelelőség nem erőfeszítésen és jóakaraton múlik. Azért valósul meg, mert az architektúra lehetetlenné teszi a megsértését. Nincs nemzetközi adatátvitel, mert nincs átvitel harmadik félnek. Az adatok a te eszközödön és a másik fél eszközén vannak. Sehol máshol.
Kit érint ez
Ha ügyvéd vagy, és üzenetküldőn keresztül küldesz szerződést egy ügyfélnek, annak a szerződésnek az adatai szerveren mennek keresztül. Ha adótanácsadó vagy, és adóbevallást osztasz meg, azok az adatok szerveren mennek keresztül. Ha orvos vagy, és leletet küldesz egy páciensnek, az egészségügyi adatok szerveren mennek keresztül. Mindezekben az esetekben bizalmas információk őrizetét delegálod egy olyan cégnek, amelyet nem te választottál és amelyet nem te irányítasz.
Nem arról van szó, hogy szándékosan rosszat teszel. Hanem arról, hogy az eszköz, amit használsz, nem ad más lehetőséget. Az egyetlen módja annak, hogy a szakmai adataid ne menjenek át harmadik fél szerverein, az, hogy a kommunikáció közvetlen legyen. Közvetítők nélkül. A te képernyődről az övékre.
Automatikus megfelelőség
P2P kommunikációval nem kell auditálnod, hol vannak az üzenetküldő szolgáltatód szerverei. Nem kell ellenőrizned a Privacy Shield-nek vagy az EU általános szerződési feltételeinek való megfelelést. Nem kell záradékot hozzáadnod az adatvédelmi szabályzatodhoz, amely elmagyarázza, hogy az adataid 'az Európai Gazdasági Térségen kívül is feldolgozásra kerülhetnek'. Semmi ilyesmi nem érvényes, mert egyetlen harmadik fél sem dolgozza fel az adataidat.
A megfelelőség nem függ senki jóakaratától. Nem függ egy szolgáltatóval kötött adatkezelési megállapodástól. Nem függ attól, hogy egy amerikai cég fenntartja-e az európai jogszabályok iránti elkötelezettségét. Az architektúrától függ. Az architektúra pedig ellenőrizhető, változtathatatlan, és nem gondolja meg magát.
A kérdés a következő auditodra
Legközelebb, amikor valaki megkérdezi, hol vannak az ügyfeleid adatai, a lehető legjobb válasz ez: 'Az én eszközömön és az övékén. Sehol máshol.' Nem kell százoldalas jelentés. Nem kell DPO, aki szolgáltatói szerződéseket vizsgál. Az ügyfeleid adatainak védelme tervezés által garantált, nem ígéretek által.