Bilmediğiniz problem
Şirketiniz fatura, sipariş, irsaliye veya müşteri verisi içeren herhangi bir belgeyi geleneksel bir mesajlaşma uygulaması üzerinden gönderiyorsa, bu veriler muhtemelen Avrupa'da olmayan sunuculardan geçiyor. Ya da Avrupa'daysa bile, yabancı mevzuata tabi bir şirkete ait. KVKK'nın bu konuda söyleyecek bir şeyleri var.
Avrupa veri koruma düzenlemeleri verilerinizin nerede olduğunu, kimin erişimi olduğunu ve hangi yargı yetkisi altında olduğunu bilmenizi gerektirir. Merkezi sunucusu olan bir mesajlaşma uygulaması kullandığınızda, belgeleriniz kontrol etmediğiniz altyapıdan geçer. Müşterilerinizin verileri — geçici de olsa — başka bir şirketin, başka bir ülkedeki, başka yasalara tabi makinelerinde depolanır.
Sunucu olmadığında ne değişir
P2P iletişimde veriler doğrudan gönderenin cihazından alıcının cihazına gider. Herhangi bir ara sunucudan geçmez. Üçüncü taraf altyapısında depolanmaz. Belge Lugo'daki bilgisayarınızdan çıkar ve müşterinizin Barcelona'daki bilgisayarına ulaşır. Ya da Berlin. Ya da Lizbon. Ama asla Silicon Valley'den geçmez.
Bu küçük bir teknik detay değil. Burada KVKK uyumu çaba ve iyi niyetle sağlanmaz. Mimarinin ihlali imkansız kılmasıyla sağlanır. Uluslararası veri aktarımı yoktur çünkü üçüncü tarafa aktarım yoktur. Veriler sizin cihazınızda ve karşı tarafın cihazındadır. Başka hiçbir yerde.
Bu kimi ilgilendiriyor
Mesajlaşma yoluyla müşterinize sözleşme gönderen bir avukatsanız, o sözleşmenin verileri bir sunucudan geçer. Vergi beyannamesi paylaşan bir mali müşavirsanız, o veriler bir sunucudan geçer. Hastanıza rapor gönderen bir doktorsanız, sağlık verileri bir sunucudan geçer. Tüm bu durumlarda, gizli bilgilerin muhafazasını seçmediğiniz ve kontrol etmediğiniz bir şirkete devrediyorsunuz.
Bilerek yanlış bir şey yaptığınız değil. Kullandığınız aracın size başka seçenek bırakmaması. Profesyonel verilerinizin üçüncü taraf sunucularından geçmemesinin tek yolu doğrudan iletişimdir. Aracı yok. Sizin ekranınızdan onların ekranına.
Otomatik uyum
P2P iletişimle mesajlaşma sağlayıcınızın sunucularının nerede olduğunu denetlemeniz gerekmez. Privacy Shield veya AB'nin standart sözleşme maddelerine uyumu doğrulamanız gerekmez. Gizlilik politikanıza verilerinizin 'Avrupa Ekonomik Alanı dışında işlenebileceğini' açıklayan bir madde eklemeniz gerekmez. Bunların hiçbiri geçerli değildir çünkü hiçbir üçüncü taraf verilerinizi işlemiyor.
Uyum kimsenin iyi niyetine bağlı değildir. Bir sağlayıcıyla yapılan veri işleme sözleşmesine bağlı değildir. Bir Amerikan şirketinin Avrupa mevzuatına bağlılığını sürdürmesine bağlı değildir. Mimariye bağlıdır. Ve mimari doğrulanabilir, değişmez ve fikrini değiştirmez.
Bir sonraki denetiminiz için soru
Bir dahaki sefere birisi müşterilerinizin verilerinin nerede olduğunu sorduğunda, verebileceğiniz en iyi cevap şudur: 'Benim cihazımda ve onlarınkinde. Başka hiçbir yerde.' Yüz sayfalık rapora gerek yok. Tedarikçi sözleşmelerini inceleyen DPO'ya gerek yok. Müşterilerinizin veri gizliliği tasarımla garanti altındadır, vaatlerle değil.