Problem, o którym nie wiedziałeś
Jeśli Twoja firma wysyła faktury, zamówienia, dowody dostawy lub jakikolwiek dokument zawierający dane klientów przez konwencjonalny komunikator, te dane przechodzą przez serwery, które prawdopodobnie nie znajdują się w Europie. Lub jeśli się znajdują, należą do firmy podlegającej zagranicznemu prawodawstwu. RODO ma na ten temat coś do powiedzenia.
Europejskie przepisy o ochronie danych wymagają wiedzy o tym, gdzie są Twoje dane, kto ma do nich dostęp i pod jaką jurysdykcją. Gdy korzystasz z komunikatora z centralnym serwerem, Twoje dokumenty przechodzą przez infrastrukturę, której nie kontrolujesz. Dane Twoich klientów są przechowywane — nawet jeśli tymczasowo — na maszynach innej firmy, w innym kraju, pod innymi przepisami.
Co się zmienia, gdy nie ma serwera
W komunikacji P2P dane przechodzą bezpośrednio z urządzenia nadawcy do urządzenia odbiorcy. Nie przechodzą przez żaden pośredni serwer. Nie są przechowywane na żadnej infrastrukturze podmiotów trzecich. Dokument opuszcza Twój komputer w Lugo i dociera do komputera Twojego klienta w Barcelonie. Lub Berlinie. Lub Lizbonie. Ale nigdy nie przechodzi przez Silicon Valley.
To nie jest drobny szczegół techniczny. Tutaj zgodność z RODO nie następuje dzięki wysiłkowi i dobrej woli. Następuje dlatego, że architektura uniemożliwia naruszenie. Nie ma międzynarodowego transferu danych, bo nie ma transferu do żadnego podmiotu trzeciego. Dane są na Twoim urządzeniu i urządzeniu Twojego rozmówcy. Nigdzie indziej.
Kogo to dotyczy
Jeśli jesteś prawnikiem wysyłającym umowę klientowi przez komunikator, dane tej umowy przechodzą przez serwer. Jeśli jesteś doradcą podatkowym udostępniającym zeznanie podatkowe, te dane przechodzą przez serwer. Jeśli jesteś lekarzem wysyłającym raport pacjentowi, dane zdrowotne przechodzą przez serwer. We wszystkich tych przypadkach powierzasz przechowywanie poufnych informacji firmie, której nie wybrałeś i nie kontrolujesz.
Nie chodzi o to, że celowo robisz coś źle. Chodzi o to, że narzędzie, którego używasz, nie daje Ci innej opcji. Jedynym sposobem, aby Twoje dane zawodowe nie przechodziły przez serwery podmiotów trzecich, jest bezpośrednia komunikacja. Bez pośredników. Z Twojego ekranu na ich ekran.
Automatyczna zgodność
Przy komunikacji P2P nie musisz kontrolować, gdzie znajdują się serwery Twojego dostawcy komunikatora. Nie musisz weryfikować zgodności z Privacy Shield ani ze standardowymi klauzulami umownymi UE. Nie musisz dodawać klauzuli do swojej polityki prywatności wyjaśniającej, że Twoje dane 'mogą być przetwarzane poza Europejskim Obszarem Gospodarczym'. Nic z tego nie ma zastosowania, bo żaden podmiot trzeci nie przetwarza Twoich danych.
Zgodność nie zależy od niczyjej dobrej woli. Nie zależy od umowy o przetwarzanie danych z dostawcą. Nie zależy od tego, czy amerykańska firma dotrzyma zobowiązań wobec europejskiego prawodawstwa. Zależy od architektury. A architektura jest weryfikowalna, niezmienna i nie zmienia zdania.
Pytanie na Twój następny audyt
Następnym razem, gdy ktoś zapyta Cię, gdzie są dane Twoich klientów, najlepsza możliwa odpowiedź to: 'Na moim urządzeniu i na ich. Nigdzie indziej.' Nie potrzeba stustronicowego raportu. Nie potrzeba DPO przeglądającego umowy z dostawcami. Prywatność danych Twoich klientów jest gwarantowana przez projekt, nie przez obietnice.