Skip to content
reader.me

GDPR и документите: какво казва законът за качването на PDF файлове

Качването на PDF с лични данни в облачен инструмент може да породи задължения по GDPR. Какво се счита за обработване, кой е обработващият и защо локалното печели.

AG Antonia González · 23 юни 2026 г. · 7 мин. четене

Влачите фактура в безплатен онлайн инструмент, за да я смалите. В нея има име на клиент, адрес, може би данъчен номер. Пет секунди по-късно имате по-малък файл и продължавате нататък. Случи ли се току-що нещо правно?

Според GDPR — твърде вероятно да. И повечето хора никога не се замислят за това, защото документът изглеждаше безобиден, а инструментът изглеждаше безплатен.

Това не е правен съвет. Не съм ваш адвокат и всяка ситуация си има свои подробности. Но формата на правилата си струва да се разбере, защото променя начина, по който трябва да боравите с документи, съдържащи чужди данни.

Какво GDPR нарича „обработване”

Хората приемат, че GDPR е за бази данни и маркетингови списъци. Реалната дефиниция е много по-широка. Обработване е почти всичко, което правите с лични данни: събиране, съхранение, четене, промяна, споделяне, изтриване. Регламентът буквално изброява „консултиране” и „използване” като форми на обработване.

Така че когато вашият PDF съдържа лични данни (име плюс телефонен номер вече е достатъчно) и правите нещо с този файл, вие обработвате лични данни. Компресирането се брои. Обединяването се брои. Преобразуването се брои.

Само по себе си това не е проблем. Бизнесите обработват лични данни по цял ден. Въпросът, който GDPR задава, е как го правите и кой друг докосва данните по пътя.

Защо качването намесва „обработващ”

Ето къде облачната част има значение. Когато качите тази фактура в външна услуга, файлът напуска контрола ви и попада на чужди сървъри. Тази компания вече обработва личните данни от ваше име. GDPR има име за тях: обработващ. Вие, този, който е решил да направи това, сте администраторът.

В мига, в който се намеси обработващ, администраторът поема реални задължения. Голямото е член 28: нуждаете се от писмен договор с този обработващ, често наричан Споразумение за обработване на данни. То трябва да изброи какво могат да правят с данните, как ги защитават, кога ги изтриват и дали могат да ги предадат на някой друг.

Спрете и помислете за безплатния PDF инструмент, който използвахте миналия месец. Подписахте ли с тях такова споразумение? Прочетохте ли къде се намират сървърите им? Проверихте ли кои са техните подизпълнители? Почти със сигурност не. Качихте файл с чужди лични данни в компания, с която нямате никакъв договор. Това е пропускът.

Капанът на международния трансфер

Става по-сложно, когато сървърите са извън ЕС. Изпращането на лични данни към доставчик в друга държава е трансфер, а GDPR ги ограничава. Нуждаете се от валидно правно основание за това, като стандартни договорни клаузи или решение за адекватност за тази държава.

Повечето безплатни инструменти не ви казват къде работят. Файлът може да бъде обработен в център за данни на друг континент, прекаран през опашка, кеширан в хранилище, а вие нямате как да разберете. За лична снимка от почивка — добре. За договор, пълен с данни на клиенти, тихомълком сте направили международен трансфер, който не можете да документирате.

Минимизирането, принципът, който всички забравят

GDPR има принцип, наречен минимизиране на данните. Трябва да обработвате само личните данни, които наистина са ви нужни, по начина, който се намесва най-малко. Има и сроден принцип: мислете за поверителността, когато проектирате процес, а не след това.

Приложете това към проста задача като компресиране на PDF. Нужно ли е да изпращате договора на клиент към сървър на трета страна, за да го направите по-малък? Не. Компресията може да се случи на собствената ви машина. Изпращането му навън добавя обработващ, договор, който нямате, и може би трансфер, който не можете да оправдаете — и всичко това за промяна на размера на файла. Това е обратното на минимизирането.

Защо локалната обработка заобикаля повечето от това

Ето частта, която прави целия проблем по-малък. Ако файлът никога не напуска устройството ви, никоя трета страна не го обработва. Без обработващ няма договор по член 28, който да гоните. Нищо не пресича граница, така че няма трансфер, който да оправдавате. Вие все още сте администраторът, все още дължите на субекта на данните обичайната грижа, но голяма част от документацията просто не се прилага, защото никой друг не е докоснал данните.

Това е идеята зад инструментите, които работят изцяло във вашия браузър. Кодът върши работата локално, в паметта на вашия компютър, и вашият PDF остава на място. Така изградихме reader.me. Когато компресирате PDF, файлът се обработва в браузъра ви и никога не достига наш сървър. Отворете DevTools на браузъра, наблюдавайте раздела Network и ще потвърдите, че нищо с вашия документ не излиза навън.

Практически стъпки за бизнеси и фрийлансъри

Няколко навика, които ви държат на правилната страна:

  • Третирайте всеки документ с имена, лични номера или данни за контакт като лични данни. Фактури, договори, автобиографии и медицински формуляри — всички се квалифицират.
  • Преди да качите каквото и да е в облачен инструмент, попитайте кой е обработващият. Няма споразумение за обработване, няма ясен отговор за местоположението на сървъра? Не прекарвайте данни на клиенти през него.
  • По подразбиране използвайте локални инструменти за рутинни задачи като компресиране, обединяване или разделяне. Ако може да работи в браузъра ви, няма обработващ, който да проверявате.
  • Водете кратък запис на това кои услуги докосват лични данни. GDPR така или иначе очаква администраторите да знаят това.
  • Когато наистина се нуждаете от облачна услуга, изберете такава, която предлага реално споразумение за обработване и ви казва къде се намират данните.

Правилата звучат тежко, но ежедневното решение е леко. Повечето работа с PDF изобщо не се нуждае от сървър. Дръжте файла на машината си и по-голямата част от правната тежест изобщо не пада върху вас.