Skip to content
reader.me

GDPR και έγγραφα: τι λέει ο νόμος για το ανέβασμα PDF

Το ανέβασμα ενός PDF με προσωπικά δεδομένα σε εργαλείο cloud μπορεί να ενεργοποιήσει υποχρεώσεις του GDPR. Τι θεωρείται επεξεργασία, ποιος είναι ο εκτελών και γιατί κερδίζει η τοπική επεξεργασία.

AG Antonia González · 23 Ιουνίου 2026 · 7 λεπτά ανάγνωσης

Σέρνετε ένα τιμολόγιο σε ένα δωρεάν διαδικτυακό εργαλείο για να το συμπιέσετε. Έχει το όνομα ενός πελάτη, μια διεύθυνση, ίσως έναν ΑΦΜ. Πέντε δευτερόλεπτα αργότερα έχετε ένα μικρότερο αρχείο και προχωράτε. Συνέβη μόλις κάτι νομικό;

Σύμφωνα με τον GDPR, πολύ πιθανόν ναι. Και οι περισσότεροι δεν το σκέφτονται ποτέ, επειδή το έγγραφο φαινόταν αβλαβές και το εργαλείο φαινόταν δωρεάν.

Αυτό δεν είναι νομική συμβουλή. Δεν είμαι ο δικηγόρος σας και κάθε περίπτωση έχει τις δικές της λεπτομέρειες. Αλλά αξίζει να κατανοήσετε το σχήμα των κανόνων, γιατί αλλάζει τον τρόπο με τον οποίο θα πρέπει να χειρίζεστε έγγραφα που περιέχουν δεδομένα άλλων ανθρώπων.

Τι ονομάζει ο GDPR «επεξεργασία»

Οι άνθρωποι υποθέτουν ότι ο GDPR αφορά βάσεις δεδομένων και λίστες marketing. Ο πραγματικός ορισμός είναι πολύ ευρύτερος. Επεξεργασία είναι σχεδόν οτιδήποτε κάνετε με προσωπικά δεδομένα: η συλλογή τους, η αποθήκευσή τους, η ανάγνωσή τους, η αλλαγή τους, η κοινοποίησή τους, η διαγραφή τους. Ο κανονισμός κυριολεκτικά αναφέρει τη «διαβούλευση» και τη «χρήση» ως μορφές επεξεργασίας.

Έτσι, όταν το PDF σας περιέχει προσωπικά δεδομένα (ένα όνομα συν έναν αριθμό τηλεφώνου αρκεί ήδη) και κάνετε κάτι με αυτό το αρχείο, επεξεργάζεστε προσωπικά δεδομένα. Η συμπίεσή του μετράει. Η ένωσή του μετράει. Η μετατροπή του μετράει.

Αυτό από μόνο του δεν είναι πρόβλημα. Οι επιχειρήσεις επεξεργάζονται προσωπικά δεδομένα όλη μέρα. Το ερώτημα που θέτει ο GDPR είναι το πώς το κάνετε, και ποιος άλλος αγγίζει τα δεδομένα στην πορεία.

Γιατί το ανέβασμα εισάγει έναν «εκτελούντα»

Εδώ είναι που έχει σημασία το κομμάτι του cloud. Όταν ανεβάζετε εκείνο το τιμολόγιο σε μια εξωτερική υπηρεσία, το αρχείο φεύγει από τον έλεγχό σας και προσγειώνεται στους διακομιστές κάποιου άλλου. Εκείνη η εταιρεία πλέον επεξεργάζεται τα προσωπικά δεδομένα για λογαριασμό σας. Ο GDPR έχει ένα όνομα γι’ αυτήν: εκτελών την επεξεργασία. Εσείς, αυτός που αποφάσισε να το κάνει, είστε ο υπεύθυνος επεξεργασίας.

Τη στιγμή που εμπλέκεται ένας εκτελών, ο υπεύθυνος επεξεργασίας αναλαμβάνει πραγματικές υποχρεώσεις. Η μεγάλη είναι το Άρθρο 28: χρειάζεστε γραπτή σύμβαση με αυτόν τον εκτελούντα, που συχνά ονομάζεται Σύμβαση Επεξεργασίας Δεδομένων (DPA). Πρέπει να ορίζει τι μπορούν να κάνουν με τα δεδομένα, πώς τα προστατεύουν, πότε τα διαγράφουν και αν μπορούν να τα παραδώσουν σε οποιονδήποτε άλλον.

Σταματήστε και σκεφτείτε το δωρεάν εργαλείο PDF που χρησιμοποιήσατε τον προηγούμενο μήνα. Υπογράψατε DPA μαζί τους; Διαβάσατε πού βρίσκονται οι διακομιστές τους; Ελέγξατε ποιοι είναι οι υπο-εκτελούντες τους; Σχεδόν σίγουρα όχι. Ανεβάσατε ένα αρχείο με τα προσωπικά δεδομένα κάποιου άλλου σε μια εταιρεία με την οποία δεν έχετε καμία σύμβαση. Αυτό είναι το κενό.

Η παγίδα της διεθνούς διαβίβασης

Γίνεται πιο περίπλοκο όταν οι διακομιστές βρίσκονται εκτός ΕΕ. Η αποστολή προσωπικών δεδομένων σε έναν πάροχο σε άλλη χώρα είναι διαβίβαση, και ο GDPR τις περιορίζει. Χρειάζεστε έγκυρη νομική βάση για αυτήν, όπως τυποποιημένες συμβατικές ρήτρες ή απόφαση επάρκειας για εκείνη τη χώρα.

Τα περισσότερα δωρεάν εργαλεία δεν σας λένε πού τρέχουν. Το αρχείο θα μπορούσε να επεξεργάζεται σε ένα κέντρο δεδομένων σε άλλη ήπειρο, να περνάει μέσα από μια ουρά, να αποθηκεύεται προσωρινά σε ένα bucket αποθήκευσης, και δεν θα είχατε κανέναν τρόπο να το ξέρετε. Για μια προσωπική φωτογραφία διακοπών, εντάξει. Για μια σύμβαση γεμάτη δεδομένα πελάτη, έχετε σιωπηλά κάνει μια διεθνή διαβίβαση που δεν μπορείτε να τεκμηριώσετε.

Η ελαχιστοποίηση, η αρχή που όλοι ξεχνούν

Ο GDPR έχει μια αρχή που ονομάζεται ελαχιστοποίηση δεδομένων. Θα πρέπει να επεξεργάζεστε μόνο τα προσωπικά δεδομένα που πραγματικά χρειάζεστε, με τον τρόπο που παρεμβαίνει το λιγότερο. Υπάρχει και μια συγγενική αρχή: σκεφτείτε την ιδιωτικότητα όταν σχεδιάζετε μια διαδικασία, όχι μετά.

Εφαρμόστε το αυτό σε μια απλή εργασία όπως η συμπίεση ενός PDF. Χρειάζεται να στείλετε τη σύμβαση ενός πελάτη σε έναν διακομιστή τρίτου για να την κάνετε μικρότερη; Όχι. Η συμπίεση μπορεί να γίνει στο δικό σας μηχάνημα. Η αποστολή της προς τα έξω προσθέτει έναν εκτελούντα, μια σύμβαση που δεν έχετε και ίσως μια διαβίβαση που δεν μπορείτε να δικαιολογήσετε, όλα για μια αλλαγή στο μέγεθος του αρχείου. Αυτό είναι το αντίθετο της ελαχιστοποίησης.

Γιατί η τοπική επεξεργασία παρακάμπτει τα περισσότερα από αυτά

Εδώ είναι το κομμάτι που κάνει ολόκληρο το πρόβλημα μικρότερο. Αν το αρχείο δεν φεύγει ποτέ από τη συσκευή σας, κανένας τρίτος δεν το επεξεργάζεται. Κανένας εκτελών σημαίνει καμία σύμβαση κατά το Άρθρο 28 για να κυνηγήσετε. Τίποτα δεν περνάει σύνορα, οπότε δεν υπάρχει διαβίβαση να δικαιολογήσετε. Παραμένετε ο υπεύθυνος επεξεργασίας, εξακολουθείτε να οφείλετε στο υποκείμενο των δεδομένων τη συνήθη φροντίδα, αλλά ένα μεγάλο κομμάτι της γραφειοκρατίας απλώς δεν ισχύει, επειδή κανείς άλλος δεν άγγιξε τα δεδομένα.

Αυτή είναι η ιδέα πίσω από εργαλεία που τρέχουν εξ ολοκλήρου στο πρόγραμμα περιήγησής σας. Ο κώδικας κάνει τη δουλειά τοπικά, στη μνήμη του υπολογιστή σας, και το PDF σας μένει στη θέση του. Έτσι φτιάξαμε το reader.me. Όταν συμπιέζετε ένα PDF, το αρχείο επεξεργάζεται στο πρόγραμμα περιήγησής σας και δεν φτάνει ποτέ σε κάποιον διακομιστή μας. Ανοίξτε τα DevTools του προγράμματος περιήγησης, παρατηρήστε την καρτέλα Network και μπορείτε να επιβεβαιώσετε ότι τίποτα με το έγγραφό σας δεν βγαίνει προς τα έξω.

Πρακτικά βήματα για επιχειρήσεις και ελεύθερους επαγγελματίες

Μερικές συνήθειες που σας κρατούν στη σωστή πλευρά:

  • Αντιμετωπίστε κάθε έγγραφο με ονόματα, αριθμούς ταυτότητας ή στοιχεία επικοινωνίας ως προσωπικά δεδομένα. Τα τιμολόγια, οι συμβάσεις, τα βιογραφικά και τα ιατρικά έντυπα πληρούν όλα τις προϋποθέσεις.
  • Πριν ανεβάσετε οτιδήποτε σε ένα εργαλείο cloud, ρωτήστε ποιος είναι ο εκτελών. Κανένα DPA, καμία σαφής απάντηση για την τοποθεσία του διακομιστή; Μην στείλετε δεδομένα πελάτη μέσα από αυτό.
  • Προτιμήστε ως προεπιλογή τα τοπικά εργαλεία για συνηθισμένες εργασίες όπως συμπίεση, ένωση ή διαχωρισμός. Αν μπορεί να τρέξει στο πρόγραμμα περιήγησής σας, δεν υπάρχει εκτελών να ελέγξετε.
  • Κρατήστε ένα σύντομο αρχείο για το ποιες υπηρεσίες αγγίζουν προσωπικά δεδομένα. Ο GDPR ούτως ή άλλως αναμένει από τους υπευθύνους επεξεργασίας να το ξέρουν αυτό.
  • Όταν πραγματικά χρειάζεστε μια υπηρεσία cloud, επιλέξτε μία που προσφέρει ένα πραγματικό DPA και σας λέει πού βρίσκονται τα δεδομένα.

Οι κανόνες ακούγονται βαρείς, αλλά η καθημερινή λύση είναι ελαφριά. Οι περισσότερες εργασίες με PDF δεν χρειάζονται καθόλου διακομιστή. Κρατήστε το αρχείο στο μηχάνημά σας, και το μεγαλύτερο μέρος του νομικού βάρους δεν πέφτει ποτέ πάνω σας εξαρχής.