Skip to content
reader.me

GDPR och dokument: vad lagen säger om att ladda upp PDF:er

Att ladda upp en PDF med personuppgifter till ett molnverktyg kan utlösa skyldigheter enligt GDPR. Vad som räknas som behandling, vem personuppgiftsbiträdet är och varför lokalt vinner.

AG Antonia González · 23 juni 2026 · 7 min läsning

Du drar en faktura in i ett gratis onlineverktyg för att krympa den. Den har en klients namn, en adress, kanske ett organisationsnummer. Fem sekunder senare har du en mindre fil och går vidare. Hände något juridiskt just nu?

Enligt GDPR, mycket möjligt ja. Och de flesta funderar aldrig på det, eftersom dokumentet såg ofarligt ut och verktyget såg gratis ut.

Det här är inte juridisk rådgivning. Jag är inte din advokat och varje situation har sina egna detaljer. Men formen på reglerna är värd att förstå, eftersom den förändrar hur du bör hantera dokument som innehåller andras uppgifter.

Vad GDPR kallar “behandling”

Folk antar att GDPR handlar om databaser och marknadsföringslistor. Den faktiska definitionen är mycket bredare. Behandling är nästan allt du gör med personuppgifter: samla in dem, lagra dem, läsa dem, ändra dem, dela dem, radera dem. Förordningen listar bokstavligen “läsning” och “användning” som former av behandling.

Så när din PDF innehåller personuppgifter (ett namn plus ett telefonnummer räcker redan) och du gör något med den filen, behandlar du personuppgifter. Att komprimera den räknas. Att slå ihop den räknas. Att konvertera den räknas.

Det i sig är inget problem. Företag behandlar personuppgifter hela dagarna. Frågan GDPR ställer är hur du gör det, och vem mer som rör uppgifterna på vägen.

Varför uppladdning för in ett “personuppgiftsbiträde”

Här är där molndelen spelar roll. När du laddar upp den fakturan till en extern tjänst lämnar filen din kontroll och hamnar på någon annans servrar. Det företaget behandlar nu personuppgifterna för din räkning. GDPR har ett namn för dem: ett personuppgiftsbiträde. Du, den som bestämde sig för att göra detta, är den personuppgiftsansvarige.

I samma stund som ett personuppgiftsbiträde är inblandat tar den personuppgiftsansvarige på sig verkliga skyldigheter. Den stora är artikel 28: du behöver ett skriftligt avtal med det biträdet, ofta kallat personuppgiftsbiträdesavtal. Det måste ange vad de får göra med uppgifterna, hur de skyddar dem, när de raderar dem och om de får lämna dem vidare till någon annan.

Stanna upp och tänk på det gratis PDF-verktyg du använde förra månaden. Skrev du under ett biträdesavtal med dem? Läste du var deras servrar står? Kontrollerade du vilka deras underbiträden är? Nästan säkert inte. Du laddade upp en fil med någon annans personuppgifter till ett företag du inte har något avtal med. Det är luckan.

Fällan med internationell överföring

Det blir knivigare när servrarna ligger utanför EU. Att skicka personuppgifter till en leverantör i ett annat land är en överföring, och GDPR begränsar sådana. Du behöver en giltig rättslig grund för det, till exempel standardavtalsklausuler eller ett beslut om adekvat skyddsnivå för det landet.

De flesta gratisverktyg berättar inte var de körs. Filen kan bearbetas i ett datacenter på en annan kontinent, skickas genom en kö, mellanlagras i ett lagringsutrymme, och du skulle inte ha något sätt att veta. För ett privat semesterfoto, helt okej. För ett avtal fullt av klientuppgifter har du i tysthet gjort en internationell överföring som du inte kan dokumentera.

Minimering, principen alla glömmer

GDPR har en princip som kallas uppgiftsminimering. Du bör bara behandla de personuppgifter du faktiskt behöver, på det sätt som inkräktar minst. Det finns en besläktad princip också: tänk på integritet när du utformar en process, inte efteråt.

Tillämpa det på en enkel uppgift som att komprimera en PDF. Behöver du skicka en klients avtal till en tredjepartsserver för att göra det mindre? Nej. Komprimeringen kan ske på din egen maskin. Att skicka ut det lägger till ett personuppgiftsbiträde, ett avtal du inte har och kanske en överföring du inte kan motivera, allt för en ändring av filstorleken. Det är motsatsen till minimering.

Varför lokal bearbetning kringgår det mesta av detta

Här är delen som gör hela problemet mindre. Om filen aldrig lämnar din enhet behandlar ingen tredje part den. Inget personuppgiftsbiträde betyder inget avtal enligt artikel 28 att jaga. Inget passerar en gräns, så det finns ingen överföring att motivera. Du är fortfarande den personuppgiftsansvarige, du är fortfarande skyldig den registrerade sedvanlig omsorg, men en stor del av pappersarbetet gäller helt enkelt inte, eftersom ingen annan rörde uppgifterna.

Det här är idén bakom verktyg som körs helt i din webbläsare. Koden gör jobbet lokalt, i din dators minne, och din PDF stannar kvar. Så byggde vi reader.me. När du komprimerar en PDF bearbetas filen i din webbläsare och når aldrig en server hos oss. Öppna webbläsarens DevTools, titta på fliken Network, och du kan bekräfta att inget med ditt dokument går ut.

Praktiska steg för företag och frilansare

Några vanor som håller dig på rätt sida:

  • Behandla varje dokument med namn, ID-nummer eller kontaktuppgifter som personuppgifter. Fakturor, avtal, CV:n och medicinska formulär kvalificerar alla.
  • Innan du laddar upp något till ett molnverktyg, fråga vem personuppgiftsbiträdet är. Inget biträdesavtal, inget tydligt svar om serverplacering? Skicka inte klientuppgifter genom det.
  • Använd lokala verktyg som standard för rutinjobb som att komprimera, slå ihop eller dela. Om det kan köras i din webbläsare finns det inget biträde att granska.
  • För enkla register över vilka tjänster som rör personuppgifter. GDPR förväntar sig att personuppgiftsansvariga vet detta ändå.
  • När du verkligen behöver en molntjänst, välj en som erbjuder ett riktigt biträdesavtal och berättar var uppgifterna finns.

Reglerna låter tunga, men den vardagliga lösningen är lätt. Det mesta PDF-arbetet behöver ingen server alls. Håll filen på din maskin, så landar det mesta av den juridiska tyngden aldrig på dig från första början.