Проблема, про яку ви не знали
Якщо ваша компанія надсилає рахунки, замовлення, накладні чи будь-які документи з даними клієнтів через звичайний месенджер, ці дані проходять через сервери, які, ймовірно, не знаходяться в Європі. Або якщо знаходяться, належать компанії, що підпорядковується іноземному законодавству. GDPR має що сказати з цього приводу.
Європейське законодавство про захист даних вимагає знати, де знаходяться ваші дані, хто має до них доступ і під чиєю юрисдикцією. Коли ви використовуєте месенджер із центральним сервером, ваші документи проходять через інфраструктуру, яку ви не контролюєте. Дані ваших клієнтів зберігаються — навіть якщо тимчасово — на машинах іншої компанії, в іншій країні, під іншими законами.
Що змінюється, коли немає сервера
У P2P-комунікації дані йдуть напряму з пристрою відправника на пристрій отримувача. Вони не проходять через жоден проміжний сервер. Вони не зберігаються на жодній сторонній інфраструктурі. Документ залишає ваш комп'ютер у Луго і прибуває на комп'ютер вашого клієнта в Барселоні. Або Берліні. Або Лісабоні. Але він ніколи не проходить через Silicon Valley.
Це не дрібна технічна деталь. Тут відповідність GDPR досягається не зусиллями та доброю волею. Вона досягається тому, що архітектура робить порушення неможливим. Немає міжнародної передачі даних, бо немає передачі третій стороні. Дані на вашому пристрої та пристрої вашого співрозмовника. Більше ніде.
Кому це важливо
Якщо ви юрист і надсилаєте контракт клієнту через месенджер, дані цього контракту проходять через сервер. Якщо ви податковий консультант і ділитеся податковою декларацією, ці дані проходять через сервер. Якщо ви лікар і надсилаєте звіт пацієнту, медичні дані проходять через сервер. У всіх цих випадках ви довіряєте зберігання конфіденційної інформації компанії, яку не обирали і не контролюєте.
Справа не в тому, що ви навмисно робите щось неправильно. Справа в тому, що інструмент, який ви використовуєте, не дає вам іншого вибору. Єдиний спосіб, щоб ваші професійні дані не проходили через сервери третіх сторін — пряма комунікація. Без посередників. З вашого екрана на їхній.
Автоматична відповідність
При P2P-комунікації вам не потрібно перевіряти, де знаходяться сервери вашого провайдера повідомлень. Вам не потрібно верифікувати відповідність Privacy Shield або стандартним договірним умовам ЄС. Вам не потрібно додавати пункт до політики конфіденційності, що пояснює, що ваші дані 'можуть оброблятися за межами Європейського економічного простору'. Нічого з цього не застосовується, бо жодна третя сторона не обробляє ваші дані.
Відповідність не залежить від чиєїсь доброї волі. Вона не залежить від договору про обробку даних з провайдером. Вона не залежить від того, чи збереже американська компанія свої зобов'язання перед європейським законодавством. Вона залежить від архітектури. А архітектура верифіковна, незмінна і не змінює свого рішення.
Питання для вашого наступного аудиту
Наступного разу, коли хтось запитає вас, де знаходяться дані ваших клієнтів, найкраща можлива відповідь: 'На моєму пристрої та на їхньому. Більше ніде.' Не потрібен стосторінковий звіт. Не потрібен DPO, що перевіряє контракти з постачальниками. Конфіденційність даних ваших клієнтів гарантована архітектурою, а не обіцянками.