당신이 몰랐던 문제
회사에서 기존 메시징 앱을 통해 송장, 주문서, 납품서 또는 고객 데이터가 포함된 문서를 보낸다면, 그 데이터는 아마 유럽에 없는 서버를 거칩니다. 유럽에 있더라도 외국 법률의 적용을 받는 회사의 것입니다. GDPR은 이에 대해 할 말이 있습니다.
유럽 데이터 보호 규정은 데이터가 어디에 있는지, 누가 접근할 수 있는지, 어떤 관할권 하에 있는지 파악할 것을 요구합니다. 중앙 서버가 있는 메시징 앱을 사용하면, 문서가 당신이 통제하지 않는 인프라를 거칩니다. 고객 데이터는 — 일시적이라 해도 — 다른 회사의, 다른 나라의, 다른 법률 하의 기계에 저장됩니다.
서버가 없으면 무엇이 달라지는가
P2P 통신에서 데이터는 발신자의 기기에서 수신자의 기기로 직접 전달됩니다. 중간 서버를 거치지 않습니다. 제3자 인프라에 저장되지 않습니다. 문서는 루고에 있는 당신의 컴퓨터를 떠나 바르셀로나에 있는 고객의 컴퓨터에 도착합니다. 또는 베를린. 또는 리스본. 하지만 Silicon Valley를 거치는 일은 결코 없습니다.
이것은 사소한 기술적 세부사항이 아닙니다. 여기서 GDPR 준수는 노력과 선의로 이루어지는 것이 아닙니다. 아키텍처가 위반을 불가능하게 만들기 때문에 이루어집니다. 제3자에게 전송하는 것이 없으므로 국제 데이터 이전이 없습니다. 데이터는 당신의 기기와 상대방의 기기에 있습니다. 다른 어디에도 없습니다.
누구에게 중요한가
변호사로서 메시징을 통해 고객에게 계약서를 보낸다면, 그 계약서의 데이터는 서버를 거칩니다. 세무사로서 세금 신고서를 공유한다면, 그 데이터는 서버를 거칩니다. 의사로서 환자에게 보고서를 보낸다면, 건강 데이터는 서버를 거칩니다. 이 모든 경우에, 당신은 선택하지도 통제하지도 않는 회사에 기밀 정보의 보관을 위임하고 있습니다.
일부러 잘못된 일을 하는 것이 아닙니다. 사용하는 도구가 다른 선택지를 주지 않는 것입니다. 전문 데이터가 제3자 서버를 거치지 않는 유일한 방법은 통신이 직접적인 것입니다. 중개자 없이. 당신의 화면에서 상대방의 화면으로.
자동 준수
P2P 통신에서는 메시징 제공업체의 서버가 어디에 있는지 감사할 필요가 없습니다. Privacy Shield나 EU의 표준 계약 조항 준수를 확인할 필요가 없습니다. 데이터가 '유럽경제지역 밖에서 처리될 수 있다'고 설명하는 조항을 개인정보 보호정책에 추가할 필요가 없습니다. 제3자가 데이터를 처리하지 않으므로, 이 중 어떤 것도 해당되지 않습니다.
준수는 누구의 선의에도 의존하지 않습니다. 제공업체와의 데이터 처리 계약에도 의존하지 않습니다. 미국 회사가 유럽 법률에 대한 약속을 유지하는 것에도 의존하지 않습니다. 아키텍처에 의존합니다. 그리고 아키텍처는 검증 가능하고, 불변이며, 마음을 바꾸지 않습니다.
다음 감사를 위한 질문
다음에 누군가 고객 데이터가 어디에 있는지 물으면, 최선의 답변은 이것입니다: '내 기기와 그들의 기기에 있습니다. 다른 어디에도 없습니다.' 백 페이지짜리 보고서가 필요 없습니다. 제공업체 계약을 검토하는 DPO가 필요 없습니다. 고객 데이터의 프라이버시는 약속이 아닌 설계에 의해 보장됩니다.