RODO a dokumenty: co mówi prawo o wysyłaniu plików PDF
Wgranie pliku PDF z danymi osobowymi do narzędzia w chmurze może uruchomić obowiązki wynikające z RODO. Co liczy się jako przetwarzanie, kto jest podmiotem przetwarzającym i dlaczego wygrywa rozwiązanie lokalne.
Przeciągasz fakturę do darmowego narzędzia online, żeby ją zmniejszyć. Jest na niej nazwisko klienta, adres, może NIP. Pięć sekund później masz mniejszy plik i przechodzisz dalej. Czy właśnie wydarzyło się coś prawnie istotnego?
W świetle RODO — bardzo możliwe, że tak. A większość ludzi nigdy się nad tym nie zastanawia, bo dokument wyglądał niewinnie, a narzędzie wyglądało na darmowe.
To nie jest porada prawna. Nie jestem Twoim prawnikiem i każda sytuacja ma swoje szczegóły. Ale warto rozumieć kształt tych przepisów, bo zmienia on sposób, w jaki powinieneś obchodzić się z dokumentami zawierającymi cudze dane.
Co RODO nazywa „przetwarzaniem”
Ludzie zakładają, że RODO dotyczy baz danych i list marketingowych. Faktyczna definicja jest znacznie szersza. Przetwarzanie to niemal wszystko, co robisz z danymi osobowymi: zbieranie, przechowywanie, odczytywanie, zmienianie, udostępnianie, usuwanie. Rozporządzenie dosłownie wymienia „przeglądanie” i „wykorzystywanie” jako formy przetwarzania.
Więc gdy Twój plik PDF zawiera dane osobowe (nazwisko plus numer telefonu już wystarczą) i coś z tym plikiem robisz, przetwarzasz dane osobowe. Kompresja się liczy. Łączenie się liczy. Konwertowanie się liczy.
Samo w sobie nie jest to problemem. Firmy przetwarzają dane osobowe przez cały dzień. Pytanie, które stawia RODO, brzmi: jak to robisz i kto jeszcze dotyka tych danych po drodze.
Dlaczego wgranie pliku wprowadza „podmiot przetwarzający”
Tu właśnie chmura ma znaczenie. Gdy wgrywasz tę fakturę do usługi zewnętrznej, plik wymyka się spod Twojej kontroli i ląduje na cudzych serwerach. Ta firma przetwarza teraz dane osobowe w Twoim imieniu. RODO ma na to nazwę: podmiot przetwarzający. Ty, osoba, która podjęła tę decyzję, jesteś administratorem.
W chwili, gdy w grę wchodzi podmiot przetwarzający, administrator przejmuje realne obowiązki. Najważniejszy to art. 28: potrzebujesz pisemnej umowy z tym podmiotem, często zwanej umową powierzenia przetwarzania danych. Musi ona określać, co mogą zrobić z danymi, jak je chronią, kiedy je usuwają i czy mogą przekazać je komukolwiek innemu.
Zatrzymaj się i pomyśl o darmowym narzędziu do PDF, którego użyłeś w zeszłym miesiącu. Czy podpisałeś z nimi umowę powierzenia? Czy przeczytałeś, gdzie stoją ich serwery? Czy sprawdziłeś, kim są ich podwykonawcy przetwarzania? Niemal na pewno nie. Wgrałeś plik z cudzymi danymi osobowymi do firmy, z którą nie masz żadnej umowy. To jest właśnie ta luka.
Pułapka transferu międzynarodowego
Robi się jeszcze bardziej zawile, gdy serwery znajdują się poza UE. Wysłanie danych osobowych do dostawcy w innym kraju to transfer, a RODO go ogranicza. Potrzebujesz ważnej podstawy prawnej, na przykład standardowych klauzul umownych albo decyzji o odpowiednim stopniu ochrony dla danego kraju.
Większość darmowych narzędzi nie mówi, gdzie działają. Plik mógł zostać przetworzony w centrum danych na innym kontynencie, przepuszczony przez kolejkę, zbuforowany w zasobniku pamięci — a Ty nie miałbyś jak się o tym dowiedzieć. W przypadku prywatnego zdjęcia z wakacji — w porządku. W przypadku umowy pełnej danych klienta po cichu dokonałeś transferu międzynarodowego, którego nie potrafisz udokumentować.
Minimalizacja — zasada, o której wszyscy zapominają
RODO ma zasadę zwaną minimalizacją danych. Powinieneś przetwarzać tylko te dane osobowe, których faktycznie potrzebujesz, w sposób najmniej ingerujący. Jest też zasada pokrewna: myśl o prywatności, gdy projektujesz proces, a nie po fakcie.
Zastosuj to do prostego zadania, jakim jest kompresja pliku PDF. Czy musisz wysłać umowę klienta na serwer strony trzeciej, żeby ją zmniejszyć? Nie. Kompresja może odbyć się na Twojej własnej maszynie. Wysłanie pliku na zewnątrz dodaje podmiot przetwarzający, umowę, której nie masz, i być może transfer, którego nie potrafisz uzasadnić — a wszystko to dla zmiany rozmiaru pliku. To przeciwieństwo minimalizacji.
Dlaczego przetwarzanie lokalne omija większość tego
Oto część, która sprawia, że cały problem maleje. Jeśli plik nigdy nie opuszcza Twojego urządzenia, żadna strona trzecia go nie przetwarza. Brak podmiotu przetwarzającego oznacza brak umowy z art. 28 do ścigania. Nic nie przekracza granicy, więc nie ma transferu do uzasadnienia. Nadal jesteś administratorem, nadal jesteś winien osobie, której dane dotyczą, zwykłą staranność — ale duża część papierkowej roboty po prostu nie ma zastosowania, bo nikt inny nie dotknął tych danych.
To właśnie idea stojąca za narzędziami, które działają w całości w Twojej przeglądarce. Kod wykonuje pracę lokalnie, w pamięci Twojego komputera, a Twój PDF zostaje na miejscu. Tak zbudowaliśmy reader.me. Gdy kompresujesz plik PDF, plik jest przetwarzany w Twojej przeglądarce i nigdy nie dociera do żadnego naszego serwera. Otwórz DevTools w przeglądarce, obserwuj zakładkę Network i możesz potwierdzić, że nic z Twoim dokumentem nie wychodzi na zewnątrz.
Praktyczne kroki dla firm i freelancerów
Kilka nawyków, które trzymają Cię po właściwej stronie:
- Traktuj każdy dokument z nazwiskami, numerami identyfikacyjnymi lub danymi kontaktowymi jako dane osobowe. Faktury, umowy, CV i formularze medyczne — wszystkie się kwalifikują.
- Zanim cokolwiek wgrasz do narzędzia w chmurze, zapytaj, kim jest podmiot przetwarzający. Brak umowy powierzenia, brak jasnej odpowiedzi o lokalizacji serwerów? Nie przepuszczaj przez nie danych klienta.
- Domyślnie używaj narzędzi lokalnych do rutynowych zadań, takich jak kompresja, łączenie czy dzielenie. Jeśli coś może działać w Twojej przeglądarce, nie ma podmiotu przetwarzającego do sprawdzenia.
- Prowadź krótki rejestr tego, które usługi dotykają danych osobowych. RODO i tak oczekuje, że administratorzy będą to wiedzieć.
- Gdy naprawdę potrzebujesz usługi w chmurze, wybierz taką, która oferuje prawdziwą umowę powierzenia i mówi Ci, gdzie znajdują się dane.
Przepisy brzmią ciężko, ale codzienne rozwiązanie jest lekkie. Większość pracy z PDF w ogóle nie potrzebuje serwera. Trzymaj plik na swojej maszynie, a większość prawnego ciężaru nigdy na Tobie nie spocznie.
Przeglądaj według kategorii