Problema, apie kurią nežinojai
Jei tavo įmonė siunčia sąskaitas faktūras, užsakymus, pristatymo dokumentus ar bet kokį dokumentą su klientų duomenimis per įprastą žinučių programėlę, tie duomenys keliauja per serverius, kurie greičiausiai nėra Europoje. O jei yra, jie priklauso bendrovei, kuriai taikoma užsienio teisė. BDAR turi ką pasakyti apie tai.
Europos duomenų apsaugos reglamentas reikalauja žinoti, kur yra tavo duomenys, kas turi prieigą ir kokiai jurisdikcijai jie priklauso. Kai naudoji žinučių programėlę su centriniu serveriu, tavo dokumentai keliauja per infrastruktūrą, kurios tu nekontroliuoji. Tavo klientų duomenys saugomi — net ir laikinai — kitai bendrovei priklausančiuose kompiuteriuose, kitoje šalyje, pagal kitus įstatymus.
Kas keičiasi, kai nėra serverio
Tiesioginiame (peer-to-peer) ryšyje duomenys keliauja tiesiai iš siuntėjo įrenginio į gavėjo įrenginį. Jie neina per jokį tarpinį serverį. Jie nesaugomi jokioje trečiosios šalies infrastruktūroje. Dokumentas išeina iš tavo kompiuterio Luge ir pasiekia tavo kliento kompiuterį Barselonoje. Ar Berlyne. Ar Lisabonoje. Bet niekada nekeliauja per Silicon Valley.
Tai nėra smulki techninė detalė. Čia BDAR atitiktis nepasiekiama pastangomis ir gera valia. Ji pasiekiama todėl, kad architektūra padaro pažeidimą neįmanomą. Nėra tarptautinio duomenų perdavimo, nes nėra perdavimo jokiai trečiajai šaliai. Duomenys yra tavo įrenginyje ir tavo pašnekovo įrenginyje. Niekur kitur.
Kam tai svarbu
Jei esi advokatas, siunčiantis sutartį klientui per žinutes, tos sutarties duomenys keliauja per serverį. Jei esi mokesčių konsultantas, dalijantis mokesčių deklaraciją, tie duomenys keliauja per serverį. Jei esi gydytojas, siunčiantis ataskaitą pacientui, sveikatos duomenys keliauja per serverį. Visais šiais atvejais tu patiki konfidencialios informacijos saugojimą bendrovei, kurios nepasirinksi ir nekontroliuoji.
Ne tai, kad tyčia darai kažką blogai. Tiesiog įrankis, kurį naudoji, nesuteikia kito pasirinkimo. Vienintelis būdas, kad tavo profesiniai duomenys nekeliautų per trečiųjų šalių serverius — kad ryšys būtų tiesioginis. Be tarpininkų. Nuo tavo ekrano iki jų.
Automatinė atitiktis
Su P2P ryšiu tau nereikia tikrinti, kur yra tavo žinučių teikėjo serveriai. Nereikia tikrinti atitikties Privacy Shield ar ES standartinėms sutarčių sąlygoms. Nereikia pridėti sąlygos prie savo privatumo politikos, aiškinančios, kad tavo duomenys „gali būti tvarkomi už Europos ekonominės erdvės ribų“. Niekas iš to netaikoma, nes jokia trečioji šalis netvarko tavo duomenų.
Atitiktis nepriklauso nuo niekieno geros valios. Nepriklauso nuo duomenų tvarkymo sutarties su teikėju. Nepriklauso nuo amerikiečių bendrovės, laikančios savo įsipareigojimą Europos teisės aktams. Priklauso nuo architektūros. O architektūra yra patikrinama, nekintanti ir nekeičia nuomonės.
Klausimas kitam auditui
Kitą kartą, kai kas nors paklaus, kur yra tavo klientų duomenys, geriausias įmanomas atsakymas yra: „Mano įrenginyje ir jų įrenginyje. Niekur kitur.“ Nereikia šimto puslapių ataskaitos. Nereikia DPO, tikrinančio teikėjų sutartis. Tavo klientų duomenų privatumas garantuotas pagal dizainą, o ne pažadus.