GDPR ומסמכים: מה החוק אומר על העלאת קובצי PDF
העלאת PDF עם מידע אישי לכלי ענן עלולה להפעיל חובות GDPR. מה נחשב לעיבוד, מי הוא המעבד, ולמה עיבוד מקומי מנצח.
אתם גוררים חשבונית לתוך כלי מקוון חינמי כדי לכווץ אותה. יש עליה שם של לקוח, כתובת, אולי מספר עוסק. חמש שניות לאחר מכן יש לכם קובץ קטן יותר ואתם ממשיכים הלאה. האם בדיוק קרה משהו משפטי?
לפי ה-GDPR, בהחלט יכול להיות שכן. ורוב האנשים אף פעם לא חושבים על זה, כי המסמך נראה לא מזיק והכלי נראה חינמי.
זה אינו ייעוץ משפטי. אני לא עורכת הדין שלכם ולכל מצב יש את הפרטים שלו. אבל שווה להבין את צורת הכללים, כי היא משנה את האופן שבו כדאי לכם לטפל במסמכים שמכילים מידע של אנשים אחרים.
מה ה-GDPR מכנה “עיבוד”
אנשים מניחים שה-GDPR עוסק במסדי נתונים וברשימות שיווק. ההגדרה בפועל רחבה הרבה יותר. עיבוד הוא כמעט כל דבר שאתם עושים עם מידע אישי: איסוף שלו, אחסון שלו, קריאה שלו, שינוי שלו, שיתוף שלו, מחיקה שלו. התקנה ממש מציינת “עיון” ו”שימוש” כצורות של עיבוד.
אז כשה-PDF שלכם מחזיק מידע אישי (שם בתוספת מספר טלפון כבר מספיק) ואתם עושים משהו עם הקובץ הזה, אתם מעבדים מידע אישי. כיווץ שלו נחשב. איחוד שלו נחשב. המרה שלו נחשבת.
זה לבדו אינו בעיה. עסקים מעבדים מידע אישי כל היום. השאלה שה-GDPR שואל היא איך אתם עושים זאת, ומי עוד נוגע במידע לאורך הדרך.
למה העלאה מכניסה “מעבד” לתמונה
כאן נכנס חלק הענן לתמונה. כשאתם מעלים את אותה חשבונית לשירות חיצוני, הקובץ עוזב את שליטתכם ונוחת על שרתים של מישהו אחר. החברה הזו מעבדת כעת את המידע האישי בשמכם. ל-GDPR יש שם בשבילה: מעבד. אתם, מי שהחליט לעשות זאת, הם הבקר.
ברגע שמעורב מעבד, הבקר אוסף חובות אמיתיות. הגדולה ביותר היא סעיף 28: אתם זקוקים לחוזה כתוב עם אותו מעבד, שלעיתים קרובות נקרא הסכם עיבוד מידע. הוא חייב לפרט מה הם יכולים לעשות עם המידע, איך הם מגנים עליו, מתי הם מוחקים אותו, והאם הם יכולים למסור אותו למישהו אחר.
עצרו וחשבו על כלי ה-PDF החינמי שבו השתמשתם בחודש שעבר. האם חתמתם איתם על הסכם עיבוד מידע? האם קראתם היכן השרתים שלהם יושבים? האם בדקתם מי תת-המעבדים שלהם? כמעט בוודאות שלא. העליתם קובץ עם מידע אישי של מישהו אחר לחברה שאין לכם איתה חוזה. זה הפער.
מלכודת ההעברה הבינלאומית
זה נעשה מסובך יותר כשהשרתים נמצאים מחוץ לאיחוד האירופי. שליחת מידע אישי לספק במדינה אחרת היא העברה, וה-GDPR מגביל אותן. אתם זקוקים לבסיס משפטי תקף לכך, כגון סעיפים חוזיים סטנדרטיים או החלטת התאמה עבור אותה מדינה.
רוב הכלים החינמיים אינם אומרים לכם היכן הם רצים. הקובץ עשוי להיות מעובד במרכז נתונים ביבשת אחרת, להיות מועבר דרך תור, להישמר במטמון בדלי אחסון, ולא תהיה לכם דרך לדעת. עבור תמונת חופשה אישית, בסדר. עבור חוזה מלא במידע של לקוחות, בשקט ביצעתם העברה בינלאומית שאינכם יכולים לתעד.
מזעור, העיקרון שכולם שוכחים
ל-GDPR יש עיקרון שנקרא מזעור מידע. עליכם לעבד רק את המידע האישי שאתם באמת צריכים, באופן שפולש הכי פחות. יש גם עיקרון בן דוד: חשבו על פרטיות כשאתם מתכננים תהליך, לא אחריו.
יישמו את זה על משימה פשוטה כמו כיווץ PDF. האם אתם צריכים לשלוח חוזה של לקוח לשרת של צד שלישי כדי להקטין אותו? לא. הכיווץ יכול לקרות על המכונה שלכם. שליחתו החוצה מוסיפה מעבד, חוזה שאין לכם, ואולי העברה שאינכם יכולים להצדיק, הכול עבור שינוי בגודל קובץ. זה ההפך ממזעור.
למה עיבוד מקומי עוקף את רוב זה
הנה החלק שמקטין את כל הבעיה. אם הקובץ אף פעם אינו עוזב את המכשיר שלכם, אף צד שלישי אינו מעבד אותו. אין מעבד פירושו אין חוזה לפי סעיף 28 לרדוף אחריו. שום דבר אינו חוצה גבול, אז אין העברה להצדיק. אתם עדיין הבקר, אתם עדיין חבים לנושא המידע את הזהירות הרגילה, אבל נתח גדול מהניירת פשוט אינו חל, כי איש אחר לא נגע במידע.
זה הרעיון מאחורי כלים שרצים כולם בתוך הדפדפן שלכם. הקוד עושה את העבודה מקומית, בזיכרון של המחשב שלכם, וה-PDF שלכם נשאר במקום. כך בנינו את reader.me. כשאתם מכווצים PDF, הקובץ מעובד בדפדפן שלכם ולעולם אינו מגיע לשרת שלנו. פתחו את ה-DevTools של הדפדפן, צפו בלשונית Network, ותוכלו לוודא ששום דבר עם המסמך שלכם אינו יוצא החוצה.
צעדים מעשיים לעסקים ולעצמאים
כמה הרגלים ששומרים אתכם בצד הנכון של הדברים:
- התייחסו לכל מסמך עם שמות, מספרי זהות או פרטי קשר כאל מידע אישי. חשבוניות, חוזים, קורות חיים וטפסים רפואיים, כולם נכללים.
- לפני שאתם מעלים משהו לכלי ענן, שאלו מי המעבד. אין הסכם עיבוד מידע, אין תשובה ברורה על מיקום השרתים? אל תשלחו דרכו מידע של לקוחות.
- קבעו כברירת מחדל כלים מקומיים למשימות שגרתיות כמו כיווץ, איחוד או פיצול. אם זה יכול לרוץ בדפדפן שלכם, אין מעבד לבדוק.
- שמרו רישום קצר של אילו שירותים נוגעים במידע אישי. ה-GDPR ממילא מצפה מבקרים לדעת זאת.
- כשאתם באמת צריכים שירות ענן, בחרו אחד שמציע הסכם עיבוד מידע אמיתי ואומר לכם היכן המידע חי.
הכללים נשמעים כבדים, אבל הפתרון היומיומי קל. רוב עבודת ה-PDF אינה זקוקה לשרת בכלל. שמרו את הקובץ על המכונה שלכם, ורוב המשקל המשפטי אף פעם לא ייפול עליכם מלכתחילה.