GDPR กับเอกสาร: กฎหมายว่าอย่างไรเรื่องการอัปโหลด PDF
การอัปโหลด PDF ที่มีข้อมูลส่วนบุคคลขึ้นเครื่องมือบนคลาวด์อาจทำให้เกิดหน้าที่ตาม GDPR อะไรนับเป็นการประมวลผล ใครคือผู้ประมวลผล และทำไมการทำในเครื่องจึงชนะ
คุณลากใบแจ้งหนี้เข้าไปในเครื่องมือออนไลน์ฟรีเพื่อบีบให้มันเล็กลง มันมีชื่อลูกค้า ที่อยู่ บางทีก็เลขประจำตัวผู้เสียภาษี ห้าวินาทีต่อมาคุณก็ได้ไฟล์ที่เล็กลงและทำงานต่อไป เพิ่งมีเรื่องทางกฎหมายเกิดขึ้นหรือเปล่า?
ภายใต้ GDPR ก็มีโอกาสสูงทีเดียวว่าใช่ และคนส่วนใหญ่ไม่เคยคิดถึงมัน เพราะเอกสารดูไม่มีพิษภัยและเครื่องมือดูเหมือนของฟรี
นี่ไม่ใช่คำแนะนำทางกฎหมาย ฉันไม่ใช่ทนายของคุณ และทุกสถานการณ์ก็มีรายละเอียดของตัวเอง แต่รูปร่างของกฎเหล่านี้ก็ควรค่าแก่การทำความเข้าใจ เพราะมันเปลี่ยนวิธีที่คุณควรจัดการกับเอกสารที่มีข้อมูลของคนอื่น
อะไรที่ GDPR เรียกว่า “การประมวลผล”
คนมักคิดว่า GDPR เป็นเรื่องของฐานข้อมูลและรายชื่อทำการตลาด แต่คำนิยามจริง ๆ กว้างกว่านั้นมาก การประมวลผลคือเกือบทุกอย่างที่คุณทำกับข้อมูลส่วนบุคคล ตั้งแต่การเก็บรวบรวม การจัดเก็บ การอ่าน การเปลี่ยนแปลง การแบ่งปัน ไปจนถึงการลบ ระเบียบนี้ระบุ “การเรียกดู” และ “การใช้” ไว้อย่างชัดเจนว่าเป็นรูปแบบหนึ่งของการประมวลผล
ดังนั้นเมื่อ PDF ของคุณมีข้อมูลส่วนบุคคล (แค่ชื่อบวกกับเบอร์โทรก็เพียงพอแล้ว) และคุณทำอะไรบางอย่างกับไฟล์นั้น คุณก็กำลังประมวลผลข้อมูลส่วนบุคคล การบีบไฟล์ก็นับ การรวมไฟล์ก็นับ การแปลงไฟล์ก็นับ
เพียงเท่านั้นยังไม่ใช่ปัญหา ธุรกิจประมวลผลข้อมูลส่วนบุคคลกันทั้งวัน คำถามที่ GDPR ถามคือคุณทำมัน อย่างไร และมี ใครอีกบ้าง ที่แตะข้อมูลนั้นระหว่างทาง
ทำไมการอัปโหลดจึงดึง “ผู้ประมวลผล” เข้ามา
นี่คือจุดที่ส่วนของคลาวด์มีความสำคัญ เมื่อคุณอัปโหลดใบแจ้งหนี้นั้นไปยังบริการภายนอก ไฟล์ก็ออกจากการควบคุมของคุณและไปลงบนเซิร์ฟเวอร์ของคนอื่น บริษัทนั้นจึงประมวลผลข้อมูลส่วนบุคคลแทนคุณ GDPR มีชื่อเรียกให้พวกเขาว่า ผู้ประมวลผลข้อมูล ส่วนคุณที่เป็นคนตัดสินใจทำเรื่องนี้คือ ผู้ควบคุมข้อมูล
ในวินาทีที่มีผู้ประมวลผลเข้ามาเกี่ยวข้อง ผู้ควบคุมก็รับหน้าที่จริงจัง ข้อใหญ่คือมาตรา 28 คุณต้องมีสัญญาเป็นลายลักษณ์อักษรกับผู้ประมวลผลรายนั้น ซึ่งมักเรียกว่าข้อตกลงการประมวลผลข้อมูล มันต้องระบุให้ชัดว่าพวกเขาทำอะไรกับข้อมูลได้บ้าง ปกป้องมันอย่างไร ลบมันเมื่อไหร่ และส่งต่อให้คนอื่นได้หรือไม่
หยุดแล้วคิดถึงเครื่องมือ PDF ฟรีที่คุณใช้เมื่อเดือนที่แล้ว คุณได้เซ็นข้อตกลงการประมวลผลข้อมูลกับพวกเขาไหม คุณอ่านหรือเปล่าว่าเซิร์ฟเวอร์ของพวกเขาตั้งอยู่ที่ไหน คุณตรวจสอบไหมว่าผู้ประมวลผลช่วงของพวกเขาเป็นใคร เกือบจะแน่นอนว่าไม่ คุณอัปโหลดไฟล์ที่มีข้อมูลส่วนบุคคลของคนอื่นไปยังบริษัทที่คุณไม่มีสัญญาด้วย นั่นแหละคือช่องโหว่
กับดักการโอนข้อมูลข้ามประเทศ
มันยิ่งยุ่งยากขึ้นเมื่อเซิร์ฟเวอร์อยู่นอกสหภาพยุโรป การส่งข้อมูลส่วนบุคคลไปยังผู้ให้บริการในอีกประเทศหนึ่งคือ การโอนข้อมูล และ GDPR ก็จำกัดสิ่งนั้นไว้ คุณต้องมีฐานทางกฎหมายที่ใช้ได้ เช่น ข้อสัญญามาตรฐาน หรือการตัดสินใจรับรองความเพียงพอสำหรับประเทศนั้น
เครื่องมือฟรีส่วนใหญ่ไม่บอกคุณว่ามันทำงานอยู่ที่ไหน ไฟล์อาจถูกประมวลผลในศูนย์ข้อมูลในอีกทวีปหนึ่ง ส่งผ่านคิว แคชไว้ในที่เก็บข้อมูล และคุณก็ไม่มีทางรู้ได้ สำหรับรูปถ่ายวันหยุดส่วนตัว ก็ไม่เป็นไร แต่สำหรับสัญญาที่เต็มไปด้วยข้อมูลลูกค้า คุณได้ทำการโอนข้อมูลข้ามประเทศที่คุณบันทึกหลักฐานไม่ได้ไปแบบเงียบ ๆ แล้ว
การลดข้อมูลให้น้อยที่สุด หลักการที่ทุกคนลืม
GDPR มีหลักการที่เรียกว่าการลดข้อมูลให้น้อยที่สุด คุณควรประมวลผลเฉพาะข้อมูลส่วนบุคคลที่คุณจำเป็นต้องใช้จริง ๆ ในวิธีที่ล่วงล้ำน้อยที่สุด และยังมีหลักการพี่น้องอีกข้อ นั่นคือให้คิดถึงความเป็นส่วนตัวตอนที่ออกแบบกระบวนการ ไม่ใช่ตอนหลัง
ลองนำมาใช้กับงานง่าย ๆ อย่างการบีบ PDF คุณจำเป็นต้องส่งสัญญาของลูกค้าไปยังเซิร์ฟเวอร์ของบุคคลที่สามเพื่อทำให้มันเล็กลงไหม ไม่ การบีบไฟล์เกิดขึ้นบนเครื่องของคุณเองได้ การส่งมันออกไปก็เพิ่มผู้ประมวลผล สัญญาที่คุณไม่มี และอาจรวมถึงการโอนข้อมูลที่คุณอ้างเหตุผลไม่ได้ ทั้งหมดนี้เพียงเพื่อเปลี่ยนขนาดไฟล์ นั่นคือสิ่งตรงกันข้ามกับการลดข้อมูลให้น้อยที่สุด
ทำไมการประมวลผลในเครื่องจึงเลี่ยงเรื่องพวกนี้ได้เกือบหมด
นี่คือส่วนที่ทำให้ปัญหาทั้งหมดเล็กลง ถ้าไฟล์ไม่เคยออกจากอุปกรณ์ของคุณ ก็ไม่มีบุคคลที่สามมาประมวลผลมัน ไม่มีผู้ประมวลผลก็แปลว่าไม่มีสัญญาตามมาตรา 28 ให้ต้องไล่ตาม ไม่มีอะไรข้ามพรมแดน จึงไม่มีการโอนข้อมูลให้ต้องอ้างเหตุผล คุณยังคงเป็นผู้ควบคุมข้อมูล คุณยังคงเป็นหนี้การดูแลตามปกติต่อเจ้าของข้อมูล แต่ภาระเอกสารก้อนใหญ่ก็ไม่มีผลบังคับใช้เลย เพราะไม่มีใครอื่นแตะข้อมูลนั้น
นี่คือแนวคิดเบื้องหลังเครื่องมือที่ทำงานทั้งหมดในเบราว์เซอร์ของคุณ โค้ดทำงานในเครื่อง ในหน่วยความจำของคอมพิวเตอร์คุณ และ PDF ของคุณก็อยู่กับที่ นั่นคือวิธีที่เราสร้าง reader.me เมื่อคุณ บีบ PDF ไฟล์จะถูกประมวลผลในเบราว์เซอร์ของคุณและไม่เคยไปถึงเซิร์ฟเวอร์ของเรา เปิด DevTools ของเบราว์เซอร์ ดูที่แท็บ Network แล้วคุณก็จะยืนยันได้ว่าไม่มีอะไรเกี่ยวกับเอกสารของคุณออกไป
ขั้นตอนที่ใช้ได้จริงสำหรับธุรกิจและฟรีแลนซ์
นิสัยไม่กี่อย่างที่ช่วยให้คุณอยู่ในด้านที่ถูกต้อง:
- ปฏิบัติต่อเอกสารที่มีชื่อ เลขประจำตัว หรือข้อมูลติดต่อ ว่าเป็นข้อมูลส่วนบุคคล ใบแจ้งหนี้ สัญญา ประวัติย่อ และแบบฟอร์มทางการแพทย์ เข้าข่ายทั้งหมด
- ก่อนอัปโหลดอะไรขึ้นเครื่องมือบนคลาวด์ ให้ถามว่าใครคือผู้ประมวลผล ไม่มีข้อตกลงการประมวลผลข้อมูล ไม่มีคำตอบชัดเจนเรื่องที่ตั้งเซิร์ฟเวอร์ใช่ไหม อย่าส่งข้อมูลลูกค้าผ่านมัน
- ใช้เครื่องมือในเครื่องเป็นค่าเริ่มต้นสำหรับงานประจำ อย่างการบีบ การรวม หรือการแยกไฟล์ ถ้ามันรันในเบราว์เซอร์ได้ ก็ไม่มีผู้ประมวลผลให้ต้องตรวจสอบ
- เก็บบันทึกสั้น ๆ ว่าบริการไหนแตะข้อมูลส่วนบุคคลบ้าง GDPR คาดหวังให้ผู้ควบคุมรู้เรื่องนี้อยู่แล้ว
- เมื่อคุณจำเป็นต้องใช้บริการคลาวด์จริง ๆ ให้เลือกอันที่มีข้อตกลงการประมวลผลข้อมูลของจริง และบอกคุณว่าข้อมูลอยู่ที่ไหน
กฎฟังดูหนักหน่วง แต่ทางแก้ในชีวิตประจำวันกลับเบา งาน PDF ส่วนใหญ่ไม่จำเป็นต้องใช้เซิร์ฟเวอร์เลย เก็บไฟล์ไว้บนเครื่องของคุณ แล้วน้ำหนักทางกฎหมายส่วนใหญ่ก็จะไม่มาตกอยู่กับคุณตั้งแต่แรก
สำรวจตามหมวดหมู่