GDPR والمستندات: ماذا يقول القانون عن رفع ملفات PDF
رفع ملف PDF يحتوي على بيانات شخصية إلى أداة سحابية قد يُفعّل التزامات GDPR. ما الذي يُعدّ معالجة، ومَن هو المعالِج، ولماذا تنتصر المعالجة المحلية.
تسحب فاتورة إلى أداة مجانية عبر الإنترنت لتصغيرها. تحمل اسم عميل وعنوانًا، وربما رقمًا ضريبيًا. وبعد خمس ثوانٍ يصبح لديك ملف أصغر، وتمضي. هل حدث للتو شيء قانوني؟
بموجب GDPR، من المحتمل جدًا أن يكون الجواب نعم. ومعظم الناس لا يفكرون في ذلك قط، لأن المستند بدا غير ضارّ والأداة بدت مجانية.
هذه ليست استشارة قانونية. أنا لست محاميك، ولكل موقف تفاصيله الخاصة. لكن شكل القواعد يستحق الفهم، لأنه يغيّر كيف ينبغي أن تتعامل مع المستندات التي تحتوي على بيانات الآخرين.
ما الذي يسمّيه GDPR “معالجة”
يفترض الناس أن GDPR يتعلق بقواعد البيانات وقوائم التسويق. التعريف الفعلي أوسع بكثير. المعالجة هي تقريبًا أي شيء تفعله بالبيانات الشخصية: جمعها، تخزينها، قراءتها، تغييرها، مشاركتها، حذفها. واللائحة تَذكر حرفيًا “الاطّلاع” و”الاستخدام” كأشكال من المعالجة.
لذا عندما يحمل ملف PDF الخاص بك بيانات شخصية (اسم مع رقم هاتف يكفي بالفعل)، وتقوم بشيء بذلك الملف، فإنك تعالج بيانات شخصية. ضغطه يُحتسب. دمجه يُحتسب. تحويله يُحتسب.
هذا وحده ليس مشكلة. الشركات تعالج بيانات شخصية طوال اليوم. السؤال الذي يطرحه GDPR هو كيف تفعل ذلك، ومَن غيرك يلمس البيانات على طول الطريق.
لماذا يُدخل الرفع “معالِجًا”
هنا تكمن أهمية الجزء السحابي. عندما ترفع تلك الفاتورة إلى خدمة خارجية، يغادر الملف سيطرتك ويهبط على خوادم شخص آخر. تلك الشركة الآن تعالج البيانات الشخصية نيابة عنك. ولـ GDPR اسم لها: معالِج. وأنت، الذي قررت القيام بهذا، هو المتحكم.
في اللحظة التي يدخل فيها معالِج، يلتقط المتحكم واجبات حقيقية. أبرزها المادة 28: تحتاج إلى عقد مكتوب مع ذلك المعالِج، يُسمّى غالبًا اتفاقية معالجة البيانات. عليه أن يوضّح ما يمكنهم فعله بالبيانات، وكيف يحمونها، ومتى يحذفونها، وما إذا كان بإمكانهم تسليمها لأي طرف آخر.
توقّف وفكّر في أداة PDF المجانية التي استخدمتها الشهر الماضي. هل وقّعت اتفاقية معالجة بيانات معها؟ هل قرأت أين تقع خوادمها؟ هل تحققت من هوية معالِجيها من الباطن؟ بكل تأكيد تقريبًا لا. لقد رفعت ملفًا يحمل بيانات شخصية لشخص آخر إلى شركة لا عقد لك معها. تلك هي الفجوة.
فخّ النقل الدولي
يزداد الأمر تعقيدًا عندما تكون الخوادم خارج الاتحاد الأوروبي. إرسال بيانات شخصية إلى مزوّد في بلد آخر هو نقل، وGDPR يقيّد ذلك. تحتاج إلى أساس قانوني صالح له، مثل البنود التعاقدية القياسية أو قرار كفاية لذلك البلد.
معظم الأدوات المجانية لا تخبرك أين تعمل. قد يُعالَج الملف في مركز بيانات في قارة أخرى، ويُمرَّر عبر طابور، ويُخزَّن مؤقتًا في حاوية تخزين، ولن تكون لديك أي طريقة لتعرف. بالنسبة لصورة شخصية من إجازة، لا بأس. أما بالنسبة لعقد مليء ببيانات العميل، فقد قمت بهدوء بنقل دولي لا يمكنك توثيقه.
التقليل، المبدأ الذي ينساه الجميع
لدى GDPR مبدأ يُسمّى تقليل البيانات. ينبغي أن تعالج فقط البيانات الشخصية التي تحتاجها فعلًا، بالطريقة الأقل تطفلًا. وهناك مبدأ شقيق أيضًا: فكّر في الخصوصية عندما تصمّم العملية، لا بعدها.
طبّق ذلك على مهمة بسيطة مثل ضغط ملف PDF. هل تحتاج إلى إرسال عقد عميل إلى خادم طرف ثالث لتصغيره؟ لا. يمكن أن يحدث الضغط على جهازك الخاص. إرساله إلى الخارج يضيف معالِجًا، وعقدًا لا تملكه، وربما نقلًا لا يمكنك تبريره، وكل ذلك من أجل تغيير في حجم ملف. هذا هو نقيض التقليل.
لماذا تتجنّب المعالجة المحلية معظم هذا
هنا الجزء الذي يجعل المشكلة برمّتها أصغر. إذا لم يغادر الملف جهازك أبدًا، فلا طرف ثالث يعالجه. لا معالِج يعني لا عقد مادة 28 لتلاحقه. لا شيء يعبر حدودًا، فلا نقل لتبرّره. ما زلت المتحكم، وما زلت مدينًا لصاحب البيانات بالعناية المعتادة، لكن جزءًا كبيرًا من الأعمال الورقية ببساطة لا ينطبق، لأنه لم يلمس البيانات أحد آخر.
هذه هي الفكرة وراء الأدوات التي تعمل بالكامل في متصفحك. الشيفرة تنجز العمل محليًا، في ذاكرة حاسوبك، ويبقى ملف PDF في مكانه. هكذا بنينا reader.me. عندما تضغط ملف PDF، يُعالَج الملف في متصفحك ولا يصل أبدًا إلى أي خادم لنا. افتح أدوات المطوّر DevTools في متصفحك، وراقب علامة تبويب الشبكة Network، وستستطيع أن تؤكد أن لا شيء يحمل مستندك يخرج.
خطوات عملية للشركات والمستقلّين
بضع عادات تبقيك في الجانب الصحيح من الأمور:
- عامِل أي مستند يحمل أسماء أو هويات أو تفاصيل تواصل على أنه بيانات شخصية. الفواتير والعقود والسير الذاتية والنماذج الطبية كلها تنطبق.
- قبل رفع أي شيء إلى أداة سحابية، اسأل مَن المعالِج. لا اتفاقية معالجة بيانات، ولا جواب واضح عن موقع الخادم؟ لا تُرسل بيانات العملاء عبرها.
- اجعل الأدوات المحلية افتراضك للمهام الروتينية مثل الضغط أو الدمج أو التقسيم. إذا كان بإمكانها العمل في متصفحك، فلا معالِج لتفحصه.
- احتفظ بسجلّ قصير للخدمات التي تلمس البيانات الشخصية. GDPR يتوقع من المتحكمين معرفة ذلك على أي حال.
- عندما تحتاج فعلًا إلى خدمة سحابية، اختر واحدة تقدّم اتفاقية معالجة بيانات حقيقية وتخبرك أين تقيم البيانات.
تبدو القواعد ثقيلة، لكن الحل اليومي خفيف. معظم أعمال PDF لا تحتاج إلى خادم على الإطلاق. أبقِ الملف على جهازك، ومعظم الثقل القانوني لن يقع عليك من الأساس.