你不知道自己存在的问题
如果你的公司通过传统即时通讯应用发送发票、订单、送货单或任何包含客户数据的文件,这些数据会经过可能不在欧洲的服务器。即使在欧洲,也属于受外国法律管辖的公司。GDPR对此有话要说。
欧洲数据保护法规要求你知道数据在哪里、谁有权访问以及在哪个司法管辖区之下。当你使用带有中央服务器的即时通讯应用时,你的文件经过你无法控制的基础设施。你的客户数据被存储——即使是暂时的——在另一家公司的机器上,在另一个国家,受其他法律管辖。
没有服务器时发生了什么变化
在P2P通信中,数据直接从发送者的设备到达接收者的设备。不经过任何中间服务器。不存储在任何第三方基础设施上。文件从你在卢戈的电脑出发,到达你客户在巴塞罗那的电脑。或柏林。或里斯本。但它永远不会经过Silicon Valley。
这不是一个小技术细节。在这里,GDPR合规不是靠努力和善意实现的。而是因为架构使违规成为不可能。没有国际数据传输,因为没有向任何第三方的传输。数据在你的设备和对方的设备上。没有其他地方。
这与谁有关
如果你是律师,通过即时通讯向客户发送合同,该合同的数据经过服务器。如果你是税务顾问,分享报税表,这些数据经过服务器。如果你是医生,向患者发送报告,健康数据经过服务器。在所有这些情况下,你把机密信息的保管权委托给了一家你没有选择也无法控制的公司。
不是你故意做错什么。而是你使用的工具没有给你其他选择。你的专业数据不经过第三方服务器的唯一方式是直接通信。没有中间人。从你的屏幕到他们的屏幕。
自动合规
使用P2P通信,你不需要审计即时通讯提供商的服务器在哪里。不需要验证是否符合隐私盾或欧盟标准合同条款。不需要在隐私政策中添加条款解释你的数据'可能在欧洲经济区之外处理'。这些都不适用,因为没有第三方在处理你的数据。
合规不依赖于任何人的善意。不依赖于与提供商的数据处理协议。不依赖于美国公司保持对欧洲法律的承诺。它取决于架构。而架构是可验证的、不可变的,且不会改变主意。
给你下次审计的问题
下次有人问你客户的数据在哪里时,最好的回答是:'在我的设备上和他们的设备上。没有其他地方。'不需要百页报告。不需要DPO审查供应商合同。你客户的数据隐私由设计保证,而不是由承诺保证。