Vấn đề mà bạn không hề biết là mình đang gặp phải
Nếu công ty của bạn gửi hóa đơn, đơn đặt hàng, phiếu giao hàng hoặc bất kỳ tài liệu nào chứa dữ liệu khách hàng qua một ứng dụng nhắn tin thông thường, những dữ liệu đó sẽ đi qua các máy chủ mà rất có thể không nằm ở Châu Âu. Hoặc nếu có ở Châu Âu, các máy chủ đó thuộc về một công ty chịu sự điều chỉnh của luật pháp nước ngoài. GDPR có những quy định liên quan đến vấn đề này.
Các quy định bảo vệ dữ liệu của Châu Âu yêu cầu phải biết dữ liệu của bạn ở đâu, ai có quyền truy cập vào chúng và thuộc thẩm quyền tài phán nào. Khi bạn sử dụng một ứng dụng nhắn tin với máy chủ trung tâm, các tài liệu của bạn đi qua một cơ sở hạ tầng mà bạn không kiểm soát. Dữ liệu khách hàng của bạn được lưu trữ — cho dù chỉ là tạm thời — trong các máy móc thuộc sở hữu của một công ty khác, ở một quốc gia khác, dưới những luật lệ khác.
Điều gì thay đổi khi không có máy chủ
Trong một cuộc liên lạc điểm-đối-điểm (P2P), dữ liệu đi trực tiếp từ thiết bị của người gửi đến thiết bị của người nhận. Chúng không qua bất kỳ máy chủ trung gian nào. Chúng không được lưu trữ trong bất kỳ cơ sở hạ tầng của bên thứ ba nào. Tài liệu rời khỏi máy tính của bạn ở Solo và đến máy tính của khách hàng tại Jakarta. Hoặc tại Berlin. Hoặc tại Lisbon. Nhưng nó không bao giờ đi qua Thung lũng Silicon.
Đây không phải là một chi tiết kỹ thuật nhỏ. Ở đây GDPR được tuân thủ không phải bằng nỗ lực và thiện chí. Mà nó được tuân thủ vì kiến trúc hệ thống khiến việc vi phạm là không thể. Không có chuyển giao dữ liệu quốc tế vì không có chuyển giao cho bất kỳ bên thứ ba nào. Dữ liệu nằm trên thiết bị của bạn và trên thiết bị của người đối diện. Không còn nơi nào khác.
Đối với ai điều này là quan trọng
Nếu bạn là luật sư và gửi hợp đồng cho khách hàng qua tin nhắn, các dữ liệu của hợp đồng đó đi qua một máy chủ. Nếu bạn là tư vấn thuế và chia sẻ tờ khai thuế, những dữ liệu đó đi qua một máy chủ. Nếu bạn là bác sĩ và gửi báo cáo cho bệnh nhân, các dữ liệu sức khỏe đó đi qua một máy chủ. Trong tất cả những trường hợp đó, bạn đang giao phó việc lưu giữ thông tin bí mật cho một công ty mà bạn không chọn và không kiểm soát.
Không phải bạn đang làm điều gì sai một cách cố ý. Mà là công cụ bạn sử dụng không cho bạn lựa chọn nào khác. Cách duy nhất để các dữ liệu chuyên môn của bạn không đi qua các máy chủ của bên thứ ba là cuộc liên lạc đó phải trực tiếp. Không có trung gian. Từ màn hình của bạn đến màn hình của họ.
Tuân thủ tự động
Với liên lạc P2P, bạn không cần kiểm tra xem máy chủ của nhà cung cấp tin nhắn của mình ở đâu. Bạn không cần xác minh xem họ có tuân thủ Privacy Shield hay các điều khoản hợp đồng tiêu chuẩn của EU hay không. Bạn không cần thêm một điều khoản vào chính sách quyền riêng tư của mình giải thích rằng dữ liệu của bạn "có thể được xử lý bên ngoài Khu vực Kinh tế Châu Âu". Tất cả những điều đó không còn áp dụng, vì không có bên thứ ba nào xử lý dữ liệu của bạn.
Việc tuân thủ không phụ thuộc vào thiện chí của bất kỳ ai. Không phụ thuộc vào hợp đồng xử lý dữ liệu với một nhà cung cấp. Không phụ thuộc vào việc liệu một công ty Mỹ có duy trì cam kết của mình với luật pháp Châu Âu hay không. Nó phụ thuộc vào kiến trúc hệ thống. Và kiến trúc hệ thống thì có thể kiểm chứng được, không thể thay đổi và không thay đổi ý định.
Câu hỏi cho cuộc kiểm toán tiếp theo của bạn
Lần tới khi ai đó hỏi bạn dữ liệu khách hàng của bạn ở đâu, câu trả lời tốt nhất có thể là: "Trên thiết bị của tôi và trên thiết bị của họ. Không ở nơi nào khác." Không cần một báo cáo dài trăm trang. Không cần một cán bộ bảo vệ dữ liệu (DPO) xem xét các hợp đồng với nhà cung cấp. Quyền riêng tư của dữ liệu khách hàng của bạn được đảm bảo bằng thiết kế, không phải bằng những lời hứa.