Problém, o ktorom ste nevedeli
Ak vaša firma posiela faktúry, objednávky, dodacie listy alebo akýkoľvek dokument s údajmi klientov cez bežnú aplikáciu na správy, tieto údaje prechádzajú cez servery, ktoré pravdepodobne nie sú v Európe. Alebo ak sú, patria firme podliehajúcej zahraničnej legislatíve. GDPR k tomu má čo povedať.
Európske nariadenia o ochrane údajov vyžadujú vedieť, kde sú vaše údaje, kto k nim má prístup a pod akou jurisdikciou. Keď používate aplikáciu na správy s centrálnym serverom, vaše dokumenty prechádzajú cez infraštruktúru, ktorú nekontrolujete. Údaje vašich klientov sú uložené — hoci aj dočasne — na strojoch inej firmy, v inej krajine, pod inými zákonmi.
Čo sa mení, keď nie je server
V P2P komunikácii údaje idú priamo zo zariadenia odosielateľa na zariadenie príjemcu. Neprechádzajú cez žiadny sprostredkovateľský server. Nie sú uložené na žiadnej infraštruktúre tretích strán. Dokument opúšťa váš počítač v Lugu a prichádza na počítač vášho klienta v Barcelone. Alebo Berlíne. Alebo Lisabone. Ale nikdy neprechádza cez Silicon Valley.
Toto nie je drobný technický detail. Tu sa súlad s GDPR nedosahuje úsilím a dobrou vôľou. Dosahuje sa tým, že architektúra znemožňuje porušenie. Neexistuje medzinárodný prenos údajov, pretože neexistuje prenos žiadnej tretej strane. Údaje sú na vašom zariadení a zariadení vášho partnera v konverzácii. Nikde inde.
Koho sa to týka
Ak ste právnik a posielate zmluvu klientovi cez správy, údaje tej zmluvy prechádzajú cez server. Ak ste daňový poradca a zdieľate daňové priznanie, tieto údaje prechádzajú cez server. Ak ste lekár a posielate správu pacientovi, zdravotné údaje prechádzajú cez server. Vo všetkých týchto prípadoch zverujete úschovu dôverných informácií firme, ktorú ste si nevybrali a nekontrolujete.
Nie je to tak, že úmyselne robíte niečo zlé. Nástroj, ktorý používate, vám nedáva inú možnosť. Jediný spôsob, ako vaše profesionálne údaje neprechádzali cez servery tretích strán, je priama komunikácia. Bez sprostredkovateľov. Z vašej obrazovky na ich obrazovku.
Automatický súlad
S P2P komunikáciou nemusíte kontrolovať, kde sa nachádzajú servery vášho poskytovateľa správ. Nemusíte overovať súlad s Privacy Shield alebo so štandardnými zmluvnými doložkami EÚ. Nemusíte pridávať doložku do svojej politiky ochrany osobných údajov vysvetľujúcu, že vaše údaje 'môžu byť spracované mimo Európskeho hospodárskeho priestoru'. Nič z toho sa neuplatňuje, pretože žiadna tretia strana nespracúva vaše údaje.
Súlad nezávisí od dobrej vôle nikoho. Nezávisí od zmluvy o spracovaní údajov s poskytovateľom. Nezávisí od toho, či americká firma dodrží svoj záväzok voči európskej legislatíve. Závisí od architektúry. A architektúra je overiteľná, nemenná a nemení názor.
Otázka pre váš ďalší audit
Nabudúce, keď sa vás niekto opýta, kde sú údaje vašich klientov, najlepšia možná odpoveď je: 'Na mojom zariadení a na ich. Nikde inde.' Nepotrebujete stostranovú správu. Nepotrebujete DPO, ktorý kontroluje zmluvy s dodávateľmi. Ochrana údajov vašich klientov je zaručená dizajnom, nie sľubmi.