Masalah yang anda tidak tahu anda hadapi
Jika syarikat anda menghantar invois, pesanan, nota hantaran atau sebarang dokumen dengan data pelanggan melalui aplikasi pesanan konvensional, data tersebut melalui pelayan yang kemungkinan besar tidak berada di Eropah. Atau jika ia berada, ia milik syarikat yang tertakluk kepada undang-undang asing. GDPR mempunyai sesuatu untuk diperkatakan mengenainya.
Peraturan perlindungan data Eropah menuntut pengetahuan tentang di mana data anda berada, siapa yang mempunyai akses kepadanya dan di bawah yurisdiksi mana. Apabila anda menggunakan aplikasi pesanan dengan pelayan pusat, dokumen anda melalui infrastruktur yang anda tidak kawal. Data pelanggan anda disimpan — walaupun buat sementara — dalam mesin milik syarikat lain, di negara lain, di bawah undang-undang lain.
Apa yang berubah apabila tiada pelayan
Dalam komunikasi titik ke titik, data pergi secara terus dari peranti penghantar ke peranti penerima. Ia tidak melalui mana-mana pelayan perantara. Ia tidak disimpan dalam mana-mana infrastruktur pihak ketiga. Dokumen tersebut keluar dari komputer anda di Solo dan sampai ke komputer klien anda di Jakarta. Atau di Berlin. Atau di Lisbon. Tetapi ia tidak pernah melalui Silicon Valley.
Ini bukan butiran teknikal kecil. Di sini GDPR dipatuhi bukan dengan usaha mahupun niat baik. Ia dipatuhi kerana seni bina menjadikan mustahil untuk melanggarnya. Tiada pemindahan data antarabangsa kerana tiada pemindahan kepada mana-mana pihak ketiga. Data berada pada peranti anda dan pada peranti teman bicara anda. Tidak di tempat lain.
Untuk siapa ini penting
Jika anda seorang peguam dan menghantar kontrak kepada klien melalui pesanan, data kontrak tersebut melalui satu pelayan. Jika anda seorang penasihat cukai dan berkongsi pengisytiharan cukai, data tersebut melalui satu pelayan. Jika anda seorang doktor dan menghantar laporan kepada pesakit, data kesihatan tersebut melalui satu pelayan. Dalam semua kes tersebut, anda mendelegasikan penjagaan maklumat rahsia kepada syarikat yang anda tidak pilih dan anda tidak kawal.
Bukan bermaksud anda melakukan sesuatu yang salah dengan sengaja. Tetapi alat yang anda gunakan tidak memberi anda pilihan lain. Satu-satunya cara supaya data profesional anda tidak melalui pelayan pihak ketiga ialah komunikasi tersebut adalah terus. Tanpa perantara. Dari skrin anda ke skrin mereka.
Pematuhan automatik
Dengan komunikasi P2P, anda tidak perlu mengaudit di mana pelayan pembekal pesanan anda berada. Anda tidak perlu mengesahkan yang ia mematuhi Privacy Shield atau dengan klausa kontrak standard EU. Anda tidak perlu menambah klausa dalam polisi privasi anda yang menjelaskan yang data anda "boleh diproses di luar Kawasan Ekonomi Eropah". Tiada satu pun daripada itu terpakai, kerana tiada pihak ketiga memproses data anda.
Pematuhan tidak bergantung pada niat baik sesiapa pun. Tidak bergantung pada kontrak pemprosesan data dengan pembekal. Tidak bergantung pada sama ada syarikat Amerika mengekalkan komitmennya dengan undang-undang Eropah. Ia bergantung pada seni bina. Dan seni bina boleh disahkan, tidak boleh diubah dan tidak berubah fikiran.
Persoalan untuk audit anda yang seterusnya
Lain kali apabila seseorang bertanya di mana data pelanggan anda berada, jawapan terbaik yang mungkin ialah: "Pada peranti saya dan pada peranti mereka. Tidak di tempat lain." Tidak perlu laporan setebal seratus halaman. Tidak perlu DPO yang menyemak kontrak dengan pembekal. Privasi data pelanggan anda dijamin mengikut reka bentuk, bukan melalui janji.