Проблема, о которой вы не знали
Если ваша компания отправляет счета, заказы, накладные или любые документы с данными клиентов через обычный мессенджер, эти данные проходят через серверы, которые, вероятно, находятся не в Европе. Или если находятся, принадлежат компании, подчиняющейся иностранному законодательству. GDPR имеет что сказать по этому поводу.
Европейское законодательство о защите данных требует знать, где находятся ваши данные, кто имеет к ним доступ и под чьей юрисдикцией. Когда вы используете мессенджер с центральным сервером, ваши документы проходят через инфраструктуру, которую вы не контролируете. Данные ваших клиентов хранятся — пусть даже временно — на машинах другой компании, в другой стране, под другими законами.
Что меняется, когда нет сервера
В P2P-коммуникации данные идут напрямую с устройства отправителя на устройство получателя. Они не проходят ни через какой промежуточный сервер. Они не хранятся ни на какой сторонней инфраструктуре. Документ покидает ваш компьютер в Луго и приходит на компьютер вашего клиента в Барселоне. Или Берлине. Или Лиссабоне. Но он никогда не проходит через Silicon Valley.
Это не мелкая техническая деталь. Здесь соответствие GDPR достигается не усилиями и доброй волей. Оно достигается потому, что архитектура делает нарушение невозможным. Нет международной передачи данных, потому что нет передачи третьей стороне. Данные на вашем устройстве и устройстве вашего собеседника. Больше нигде.
Кому это важно
Если вы юрист и отправляете контракт клиенту через мессенджер, данные этого контракта проходят через сервер. Если вы налоговый консультант и делитесь налоговой декларацией, эти данные проходят через сервер. Если вы врач и отправляете отчёт пациенту, медицинские данные проходят через сервер. Во всех этих случаях вы доверяете хранение конфиденциальной информации компании, которую не выбирали и не контролируете.
Дело не в том, что вы намеренно делаете что-то неправильно. Дело в том, что инструмент, который вы используете, не даёт вам другого выбора. Единственный способ, чтобы ваши профессиональные данные не проходили через серверы третьих сторон — прямая коммуникация. Без посредников. С вашего экрана на их экран.
Автоматическое соответствие
При P2P-коммуникации вам не нужно проверять, где находятся серверы вашего провайдера сообщений. Вам не нужно верифицировать соответствие Privacy Shield или стандартным договорным условиям ЕС. Вам не нужно добавлять пункт в политику конфиденциальности, объясняющий, что ваши данные 'могут обрабатываться за пределами Европейской экономической зоны'. Ничто из этого не применимо, потому что ни одна третья сторона не обрабатывает ваши данные.
Соответствие не зависит от чьей-либо доброй воли. Оно не зависит от договора об обработке данных с провайдером. Оно не зависит от того, сохранит ли американская компания свои обязательства перед европейским законодательством. Оно зависит от архитектуры. А архитектура верифицируема, неизменна и не меняет своего решения.
Вопрос для вашего следующего аудита
В следующий раз, когда кто-то спросит вас, где находятся данные ваших клиентов, лучший возможный ответ: 'На моём устройстве и на их. Больше нигде.' Не нужен стостраничный отчёт. Не нужен DPO, проверяющий контракты с поставщиками. Конфиденциальность данных ваших клиентов гарантирована архитектурой, а не обещаниями.