GDPR और दस्तावेज़: PDF अपलोड करने पर क़ानून क्या कहता है
निजी डेटा वाली कोई PDF किसी क्लाउड टूल पर अपलोड करना GDPR की ज़िम्मेदारियाँ ट्रिगर कर सकता है। प्रोसेसिंग क्या मानी जाती है, प्रोसेसर कौन है, और लोकल क्यों जीतता है।
आप किसी इनवॉइस को छोटा करने के लिए उसे एक मुफ़्त ऑनलाइन टूल में खींचकर डालते हैं। उस पर किसी क्लाइंट का नाम, एक पता, शायद एक टैक्स आईडी है। पाँच सेकंड बाद आपके पास एक छोटी फ़ाइल है और आप आगे बढ़ जाते हैं। क्या अभी-अभी क़ानूनी तौर पर कुछ हुआ?
GDPR के तहत, बहुत मुमकिन है कि हाँ। और ज़्यादातर लोग इस बारे में कभी सोचते ही नहीं, क्योंकि दस्तावेज़ हानिरहित लगा और टूल मुफ़्त लगा।
यह क़ानूनी सलाह नहीं है। मैं आपकी वकील नहीं हूँ और हर स्थिति की अपनी बारीकियाँ होती हैं। पर नियमों का ढाँचा समझने लायक़ है, क्योंकि यह बदल देता है कि आपको उन दस्तावेज़ों को कैसे संभालना चाहिए जिनमें दूसरों का डेटा हो।
GDPR किसे “प्रोसेसिंग” कहता है
लोग मान लेते हैं कि GDPR डेटाबेस और मार्केटिंग सूचियों के बारे में है। असल परिभाषा कहीं ज़्यादा व्यापक है। प्रोसेसिंग लगभग वह सब कुछ है जो आप निजी डेटा के साथ करते हैं: उसे इकट्ठा करना, संग्रहित करना, पढ़ना, बदलना, साझा करना, हटाना। नियमन शब्दशः “परामर्श” और “उपयोग” को प्रोसेसिंग के रूप गिनाता है।
तो जब आपकी PDF में निजी डेटा हो (एक नाम और एक फ़ोन नंबर ही काफ़ी है) और आप उस फ़ाइल के साथ कुछ करें, तो आप निजी डेटा प्रोसेस कर रहे हैं। उसे कंप्रेस करना गिना जाता है। उसे जोड़ना गिना जाता है। उसे बदलना गिना जाता है।
बस इतने भर से कोई दिक्कत नहीं है। कारोबार दिन भर निजी डेटा प्रोसेस करते हैं। GDPR जो सवाल पूछता है वह यह है कि आप यह कैसे करते हैं, और रास्ते में और कौन उस डेटा को छूता है।
अपलोड करने से “प्रोसेसर” क्यों आ जाता है
यहीं क्लाउड वाला हिस्सा मायने रखता है। जब आप वह इनवॉइस किसी बाहरी सेवा पर अपलोड करते हैं, तो फ़ाइल आपके नियंत्रण से निकलकर किसी और के सर्वर पर पहुँच जाती है। वह कंपनी अब आपकी ओर से निजी डेटा प्रोसेस करती है। GDPR के पास उसके लिए एक नाम है: प्रोसेसर। आप, जिसने यह करने का फ़ैसला किया, कंट्रोलर हैं।
जैसे ही कोई प्रोसेसर शामिल होता है, कंट्रोलर पर असली ज़िम्मेदारियाँ आ जाती हैं। सबसे बड़ी है अनुच्छेद 28: आपको उस प्रोसेसर के साथ एक लिखित अनुबंध चाहिए, जिसे अक्सर डेटा प्रोसेसिंग एग्रीमेंट कहा जाता है। इसमें साफ़ लिखा होना चाहिए कि वे डेटा के साथ क्या कर सकते हैं, वे उसकी रक्षा कैसे करते हैं, वे उसे कब हटाते हैं, और क्या वे उसे किसी और को सौंप सकते हैं।
रुकिए और उस मुफ़्त PDF टूल के बारे में सोचिए जो आपने पिछले महीने इस्तेमाल किया था। क्या आपने उनके साथ कोई DPA साइन किया? क्या आपने पढ़ा कि उनके सर्वर कहाँ बैठे हैं? क्या आपने जाँचा कि उनके सबप्रोसेसर कौन हैं? लगभग निश्चित रूप से नहीं। आपने किसी और के निजी डेटा वाली एक फ़ाइल ऐसी कंपनी पर अपलोड कर दी जिसके साथ आपका कोई अनुबंध नहीं है। यही वह खाई है।
अंतरराष्ट्रीय ट्रांसफ़र का जाल
जब सर्वर EU के बाहर हों, तो मामला और पेचीदा हो जाता है। निजी डेटा को किसी दूसरे देश के प्रदाता को भेजना एक ट्रांसफ़र है, और GDPR इन पर पाबंदी लगाता है। इसके लिए आपको एक वैध क़ानूनी आधार चाहिए, जैसे स्टैंडर्ड कॉन्ट्रैक्चुअल क्लॉज़ या उस देश के लिए कोई एडिक्वेसी निर्णय।
ज़्यादातर मुफ़्त टूल आपको बताते ही नहीं कि वे कहाँ चलते हैं। फ़ाइल किसी दूसरे महाद्वीप के डेटा सेंटर में प्रोसेस हो सकती है, किसी क़तार से गुज़र सकती है, किसी स्टोरेज बकेट में कैश हो सकती है, और आपके पास जानने का कोई तरीक़ा नहीं होगा। किसी निजी छुट्टी की तस्वीर के लिए ठीक है। पर क्लाइंट के डेटा से भरे किसी अनुबंध के लिए, आपने चुपचाप एक ऐसा अंतरराष्ट्रीय ट्रांसफ़र कर डाला जिसका आप दस्तावेज़ी सबूत नहीं दे सकते।
न्यूनतमीकरण, वह सिद्धांत जिसे हर कोई भूल जाता है
GDPR में एक सिद्धांत है जिसे डेटा मिनिमाइज़ेशन कहते हैं। आपको केवल वही निजी डेटा प्रोसेस करना चाहिए जिसकी आपको सचमुच ज़रूरत है, उस तरीक़े से जो सबसे कम दख़ल देता हो। इसका एक भाई-सिद्धांत भी है: किसी प्रक्रिया को डिज़ाइन करते समय निजता के बारे में सोचिए, बाद में नहीं।
इसे PDF कंप्रेस करने जैसे सीधे काम पर लागू कीजिए। क्या किसी क्लाइंट के अनुबंध को छोटा करने के लिए उसे किसी तीसरे पक्ष के सर्वर पर भेजना ज़रूरी है? नहीं। कंप्रेशन आपकी अपनी मशीन पर हो सकता है। उसे बाहर भेजने से एक प्रोसेसर जुड़ता है, एक अनुबंध जो आपके पास नहीं है, और शायद एक ट्रांसफ़र जिसे आप जायज़ नहीं ठहरा सकते — और यह सब बस फ़ाइल का आकार बदलने के लिए। यह न्यूनतमीकरण का उल्टा है।
लोकल प्रोसेसिंग इसका ज़्यादातर हिस्सा क्यों किनारे कर देती है
यह वह हिस्सा है जो पूरी समस्या को छोटा कर देता है। अगर फ़ाइल कभी आपके डिवाइस से बाहर ही न जाए, तो कोई तीसरा पक्ष उसे प्रोसेस नहीं करता। कोई प्रोसेसर नहीं, तो खोजने के लिए कोई अनुच्छेद 28 अनुबंध नहीं। कुछ भी सीमा पार नहीं करता, इसलिए जायज़ ठहराने के लिए कोई ट्रांसफ़र नहीं। आप अब भी कंट्रोलर हैं, आप अब भी डेटा विषय के प्रति सामान्य सावधानी के देनदार हैं, पर कागज़ी कार्रवाई का एक बड़ा हिस्सा बस लागू ही नहीं होता, क्योंकि उस डेटा को किसी और ने छुआ ही नहीं।
यही वह विचार है जो पूरी तरह आपके ब्राउज़र में चलने वाले टूल के पीछे है। कोड काम लोकल तौर पर करता है, आपके कंप्यूटर की मेमोरी में, और आपकी PDF वहीं रहती है। हमने reader.me इसी तरह बनाया है। जब आप कोई PDF कंप्रेस करते हैं, तो फ़ाइल आपके ब्राउज़र में प्रोसेस होती है और हमारे किसी सर्वर तक कभी नहीं पहुँचती। अपने ब्राउज़र के DevTools खोलिए, Network टैब देखिए, और आप पुष्टि कर सकते हैं कि आपके दस्तावेज़ के साथ कुछ भी बाहर नहीं जाता।
कारोबारों और फ़्रीलांसरों के लिए व्यावहारिक क़दम
कुछ आदतें जो आपको सही पक्ष पर बनाए रखती हैं:
- नाम, आईडी या संपर्क जानकारी वाले किसी भी दस्तावेज़ को निजी डेटा मानिए। इनवॉइस, अनुबंध, CV और मेडिकल फ़ॉर्म, सब इसी में आते हैं।
- किसी भी क्लाउड टूल पर कुछ अपलोड करने से पहले, पूछिए कि प्रोसेसर कौन है। कोई DPA नहीं, सर्वर की जगह पर कोई साफ़ जवाब नहीं? तो उसके ज़रिए क्लाइंट का डेटा मत भेजिए।
- रोज़मर्रा के कामों के लिए लोकल टूल को डिफ़ॉल्ट बनाइए जैसे कंप्रेस करना, जोड़ना या अलग करना। अगर यह आपके ब्राउज़र में चल सकता है, तो जाँचने के लिए कोई प्रोसेसर ही नहीं।
- एक छोटा रिकॉर्ड रखिए कि कौन-कौन सी सेवाएँ निजी डेटा को छूती हैं। GDPR वैसे भी कंट्रोलरों से यह जानने की अपेक्षा रखता है।
- जब आपको सचमुच किसी क्लाउड सेवा की ज़रूरत हो, तो ऐसी चुनिए जो असली DPA देती हो और बताती हो कि डेटा कहाँ रहता है।
नियम भारी लगते हैं, पर रोज़मर्रा का समाधान हल्का है। ज़्यादातर PDF काम को किसी सर्वर की ज़रूरत ही नहीं। फ़ाइल को अपनी मशीन पर रखिए, और ज़्यादातर क़ानूनी बोझ शुरुआत में ही आप पर नहीं आता।