Skip to content
reader.me

GDPR dan dokumen: apa kata hukum tentang mengunggah PDF

Mengunggah PDF berisi data pribadi ke alat cloud bisa memicu kewajiban GDPR. Apa yang dihitung sebagai pemrosesan, siapa pemrosesnya, dan mengapa lokal lebih unggul.

AG Antonia González · 23 Juni 2026 · 7 menit baca

Anda menyeret sebuah faktur ke alat online gratis untuk mengecilkannya. Faktur itu memuat nama seorang klien, sebuah alamat, mungkin sebuah NPWP. Lima detik kemudian Anda mendapat berkas yang lebih kecil dan Anda pun lanjut bekerja. Apakah baru saja terjadi sesuatu yang berkaitan dengan hukum?

Di bawah GDPR, sangat mungkin iya. Dan sebagian besar orang tidak pernah memikirkannya, karena dokumen itu tampak tidak berbahaya dan alatnya tampak gratis.

Ini bukan nasihat hukum. Saya bukan pengacara Anda dan setiap situasi punya detailnya sendiri. Tetapi pola aturannya layak dipahami, karena hal itu mengubah cara Anda seharusnya menangani dokumen yang berisi data orang lain.

Apa yang disebut GDPR sebagai “pemrosesan”

Orang mengira GDPR hanya soal basis data dan daftar pemasaran. Definisi sebenarnya jauh lebih luas. Pemrosesan adalah hampir segala hal yang Anda lakukan dengan data pribadi: mengumpulkannya, menyimpannya, membacanya, mengubahnya, membagikannya, menghapusnya. Regulasi itu secara harfiah mencantumkan “konsultasi” dan “penggunaan” sebagai bentuk pemrosesan.

Jadi ketika PDF Anda memuat data pribadi (sebuah nama ditambah nomor telepon saja sudah cukup) dan Anda melakukan sesuatu dengan berkas itu, Anda sedang memproses data pribadi. Mengompresinya terhitung. Menggabungkannya terhitung. Mengonversinya terhitung.

Itu sendiri bukanlah masalah. Bisnis memproses data pribadi sepanjang hari. Pertanyaan yang diajukan GDPR adalah bagaimana Anda melakukannya, dan siapa lagi yang menyentuh data itu sepanjang prosesnya.

Mengapa mengunggah memunculkan “pemroses”

Di sinilah bagian cloud menjadi penting. Ketika Anda mengunggah faktur itu ke layanan eksternal, berkasnya lepas dari kendali Anda dan mendarat di server orang lain. Perusahaan itu kini memproses data pribadi atas nama Anda. GDPR punya sebutan untuk mereka: pemroses (processor). Anda, pihak yang memutuskan untuk melakukan ini, adalah pengendali (controller).

Begitu seorang pemroses terlibat, pengendali memikul kewajiban yang nyata. Yang utama adalah Pasal 28: Anda perlu kontrak tertulis dengan pemroses itu, yang sering disebut Perjanjian Pemrosesan Data. Kontrak itu harus merinci apa yang boleh mereka lakukan dengan data, bagaimana mereka melindunginya, kapan mereka menghapusnya, dan apakah mereka boleh menyerahkannya kepada siapa pun.

Berhenti dan pikirkan alat PDF gratis yang Anda pakai bulan lalu. Apakah Anda menandatangani Perjanjian Pemrosesan Data dengan mereka? Apakah Anda membaca di mana server mereka berada? Apakah Anda memeriksa siapa subpemroses mereka? Hampir pasti tidak. Anda mengunggah berkas berisi data pribadi orang lain ke perusahaan yang tidak punya kontrak apa pun dengan Anda. Di situlah celahnya.

Jebakan transfer internasional

Hal ini menjadi lebih rumit ketika server berada di luar UE. Mengirim data pribadi ke penyedia di negara lain adalah sebuah transfer, dan GDPR membatasinya. Anda butuh dasar hukum yang sah untuk itu, seperti klausul kontrak standar atau keputusan kecukupan (adequacy decision) untuk negara tersebut.

Sebagian besar alat gratis tidak memberi tahu Anda di mana mereka beroperasi. Berkas itu bisa saja diproses di pusat data di benua lain, dilewatkan melalui antrean, disimpan di cache pada bucket penyimpanan, dan Anda tidak punya cara untuk mengetahuinya. Untuk foto liburan pribadi, tidak masalah. Untuk kontrak yang penuh data klien, Anda diam-diam telah melakukan transfer internasional yang tidak bisa Anda dokumentasikan.

Minimalisasi, prinsip yang dilupakan semua orang

GDPR punya prinsip bernama minimalisasi data. Anda hanya boleh memproses data pribadi yang benar-benar Anda butuhkan, dengan cara yang paling sedikit mengganggu. Ada juga prinsip serupa: pikirkan privasi saat Anda merancang sebuah proses, bukan setelahnya.

Terapkan itu pada tugas sederhana seperti mengompresi PDF. Apakah Anda perlu mengirim kontrak seorang klien ke server pihak ketiga untuk membuatnya lebih kecil? Tidak. Kompresi bisa terjadi di mesin Anda sendiri. Mengirimnya keluar menambahkan seorang pemroses, sebuah kontrak yang tidak Anda punya, dan mungkin sebuah transfer yang tidak bisa Anda benarkan, semuanya hanya demi perubahan ukuran berkas. Itu kebalikan dari minimalisasi.

Mengapa pemrosesan lokal menghindari sebagian besar dari ini

Inilah bagian yang membuat seluruh masalah menjadi lebih kecil. Jika berkas tidak pernah meninggalkan perangkat Anda, tidak ada pihak ketiga yang memprosesnya. Tidak ada pemroses berarti tidak ada kontrak Pasal 28 yang harus dikejar. Tidak ada yang melintasi perbatasan, jadi tidak ada transfer yang harus dibenarkan. Anda tetaplah pengendali, Anda tetap berutang kehati-hatian sebagaimana mestinya kepada subjek data, tetapi sebagian besar urusan administratif sederhananya tidak berlaku, karena tidak ada orang lain yang menyentuh data itu.

Inilah gagasan di balik alat yang berjalan sepenuhnya di browser Anda. Kodenya mengerjakan tugasnya secara lokal, di memori komputer Anda, dan PDF Anda tetap di tempatnya. Begitulah cara kami membangun reader.me. Ketika Anda mengompresi PDF, berkas itu diproses di browser Anda dan tidak pernah mencapai server kami. Buka DevTools browser Anda, amati tab Network, dan Anda bisa memastikan tidak ada apa pun yang berisi dokumen Anda keluar.

Langkah praktis untuk bisnis dan pekerja lepas

Beberapa kebiasaan yang menjaga Anda tetap di sisi yang benar:

  • Perlakukan dokumen apa pun yang memuat nama, nomor identitas, atau detail kontak sebagai data pribadi. Faktur, kontrak, CV, dan formulir medis semuanya memenuhi syarat.
  • Sebelum mengunggah apa pun ke alat cloud, tanyakan siapa pemrosesnya. Tidak ada Perjanjian Pemrosesan Data, tidak ada jawaban jelas soal lokasi server? Jangan kirim data klien lewat alat itu.
  • Jadikan alat lokal sebagai pilihan baku untuk pekerjaan rutin seperti mengompresi, menggabungkan, atau memisahkan. Jika bisa berjalan di browser Anda, tidak ada pemroses yang perlu diperiksa.
  • Simpan catatan singkat tentang layanan mana yang menyentuh data pribadi. GDPR memang mengharapkan pengendali untuk mengetahui hal ini.
  • Ketika Anda benar-benar membutuhkan layanan cloud, pilih yang menawarkan Perjanjian Pemrosesan Data yang nyata dan memberi tahu Anda di mana data disimpan.

Aturannya terdengar berat, tetapi solusi sehari-harinya ringan. Sebagian besar pekerjaan PDF tidak butuh server sama sekali. Simpan berkas di mesin Anda, dan sebagian besar beban hukum tidak akan pernah mendarat pada Anda sejak awal.

Jelajahi berdasarkan kategori