Težava, za katero niste vedeli, da jo imate
Če vaše podjetje pošilja račune, naročila, dobavnice ali kateri koli dokument s podatki o strankah prek običajne aplikacije za sporočanje, ti podatki prehajajo prek strežnikov, ki verjetno niso v Evropi. Ali če so, pripadajo podjetju, ki je podvrženo tuji zakonodaji. GDPR ima o tem kaj povedati.
Evropska uredba o varstvu podatkov zahteva vedeti, kje so vaši podatki, kdo ima dostop do njih in pod katero jurisdikcijo so. Ko uporabljate aplikacijo za sporočanje z osrednjim strežnikom, vaši dokumenti prehajajo prek infrastrukture, ki je ne nadzorujete. Podatki vaših strank ostanejo shranjeni —četudi začasno— v strojih, ki pripadajo drugemu podjetju, v drugi državi in pod drugimi zakoni.
Kaj se spremeni, ko ni strežnika
V komunikaciji točka-točka podatki gredo neposredno z naprave pošiljatelja na napravo prejemnika. Ne gredo prek nobenega vmesnega strežnika. Ne shranjujejo se v nobeni infrastrukturi tretjih oseb. Dokument zapusti vaš računalnik v Lugu in prispe v računalnik vaše stranke v Barceloni. Ali v Berlinu. Ali v Lizboni. Toda nikoli ne gre skozi Silicon Valley.
To ni majhna tehnična podrobnost. Tukaj se ne izpolnjuje GDPR s trudom in dobro voljo. Izpolnjuje se zato, ker arhitektura onemogoča neizpolnjevanje. Ni mednarodnega prenosa podatkov, ker ni prenosa kateri koli tretji osebi. Podatki so v vaši napravi in v napravi vašega sogovornika. Nikjer drugje.
Za koga je to pomembno
Če ste odvetnik in stranki pošljete pogodbo prek sporočil, podatki tiste pogodbe prehajajo prek strežnika. Če ste davčni svetovalec in delite davčno napoved, ti podatki prehajajo prek strežnika. Če ste zdravnik in pacientu pošljete poročilo, zdravstveni podatki prehajajo prek strežnika. V vseh teh primerih skrbništvo nad zaupnimi informacijami delegirate podjetju, ki ga niste izbrali sami in ga ne nadzorujete.
Ne gre za to, da bi kaj delali narobe namenoma. Gre za to, da orodje, ki ga uporabljate, ne daje druge možnosti. Edini način, da vaši profesionalni podatki ne prehajajo prek strežnikov tretjih oseb, je, da je komunikacija neposredna. Brez posrednikov. Z vašega zaslona na njegov.
Samodejna skladnost
S komunikacijo P2P vam ni treba revidirati, kje so strežniki vašega ponudnika sporočanja. Ni vam treba preverjati, ali je skladen s Privacy Shieldom ali standardnimi pogodbenimi klavzulami EU. V svojo politiko zasebnosti vam ni treba dodajati klavzule, ki pojasnjuje, da se vaši podatki "lahko obdelujejo zunaj Evropskega gospodarskega prostora". Nič od tega ne velja, ker nobena tretja oseba ne obdeluje vaših podatkov.
Skladnost ni odvisna od dobre volje nikogar. Ni odvisna od pogodbe o obdelavi podatkov s ponudnikom. Ni odvisna od tega, ali ameriško podjetje ohranja svojo zavezo evropski zakonodaji. Odvisna je od arhitekture. In arhitektura je preverljiva, nespremenljiva in si ne premisli.
Vprašanje za vašo naslednjo revizijo
Naslednjič, ko vas kdo vpraša, kje so podatki vaših strank, je najboljši možni odgovor: "V moji napravi in v njihovi. Nikjer drugje." Ni potrebe po stostranskem poročilu. Ni potrebe po DPO-ju, ki bi preverjal pogodbe z dobavitelji. Zasebnost podatkov vaših strank je zagotovljena z zasnovo, ne z obljubami.