GDPR ve belgeler: PDF yüklemek konusunda yasa ne diyor
Kişisel veri içeren bir PDF'i bir bulut aracına yüklemek GDPR yükümlülüklerini tetikleyebilir. Neyin işleme sayıldığı, veri işleyenin kim olduğu ve neden yerelin kazandığı.
Bir faturayı küçültmek için ücretsiz bir çevrimiçi araca sürüklüyorsunuz. Üzerinde bir müşterinin adı, bir adres, belki bir vergi numarası var. Beş saniye sonra daha küçük bir dosyanız oluyor ve yolunuza devam ediyorsunuz. Az önce hukuki bir şey mi oldu?
GDPR kapsamında, büyük ihtimalle evet. Ve çoğu insan bunu hiç düşünmez, çünkü belge zararsız görünüyordu ve araç ücretsiz görünüyordu.
Bu bir hukuki tavsiye değil. Sizin avukatınız değilim ve her durumun kendine özgü ayrıntıları vardır. Ama kuralların genel hatlarını anlamak değer, çünkü bu, başkalarının verilerini içeren belgeleri nasıl ele almanız gerektiğini değiştirir.
GDPR’ın “işleme” dediği şey
İnsanlar GDPR’ın veritabanları ve pazarlama listeleriyle ilgili olduğunu varsayar. Gerçek tanım çok daha geniş. İşleme, kişisel verilerle yaptığınız hemen her şeydir: toplamak, saklamak, okumak, değiştirmek, paylaşmak, silmek. Düzenleme, “danışma” ve “kullanım”ı bizzat işleme biçimleri olarak listeler.
Yani PDF’iniz kişisel veri içerdiğinde (bir ad ile bir telefon numarası zaten yeterli) ve o dosyayla bir şey yaptığınızda, kişisel veri işliyorsunuz demektir. Sıkıştırmak buna dahildir. Birleştirmek buna dahildir. Dönüştürmek buna dahildir.
Bunun tek başına bir sorun olması gerekmez. İşletmeler gün boyu kişisel veri işler. GDPR’ın sorduğu soru, bunu nasıl yaptığınız ve bu süreçte verilere başka kimin dokunduğudur.
Yükleme neden bir “veri işleyen” devreye sokar
İşte bulut kısmının önem kazandığı yer burası. O faturayı harici bir hizmete yüklediğinizde, dosya kontrolünüzden çıkar ve başkasının sunucularına iner. Artık o şirket kişisel veriyi sizin adınıza işler. GDPR’ın onlar için bir adı var: veri işleyen. Bunu yapmaya karar veren siz ise veri sorumlususunuz.
Bir veri işleyen devreye girdiği an, veri sorumlusu gerçek yükümlülükler edinir. En büyüğü Madde 28: o veri işleyenle, çoğu zaman Veri İşleme Sözleşmesi denen yazılı bir sözleşmeniz olması gerekir. Bu sözleşme, verilerle ne yapabileceklerini, nasıl koruduklarını, ne zaman sildiklerini ve başkasına devredip devredemeyeceklerini açıkça belirtmek zorundadır.
Bir durun ve geçen ay kullandığınız ücretsiz PDF aracını düşünün. Onlarla bir Veri İşleme Sözleşmesi imzaladınız mı? Sunucularının nerede olduğunu okudunuz mu? Alt işleyenlerinin kim olduğunu kontrol ettiniz mi? Neredeyse kesinlikle hayır. Başkasının kişisel verisini içeren bir dosyayı, hiçbir sözleşmenizin olmadığı bir şirkete yüklediniz. Boşluk işte burada.
Uluslararası aktarım tuzağı
Sunucular AB dışında olduğunda işler daha da çetrefilleşir. Kişisel veriyi başka bir ülkedeki bir sağlayıcıya göndermek bir aktarımdır ve GDPR bunları kısıtlar. Bunun için geçerli bir hukuki dayanağa ihtiyacınız var; standart sözleşme maddeleri ya da o ülke için bir yeterlilik kararı gibi.
Çoğu ücretsiz araç nerede çalıştığını size söylemez. Dosya başka bir kıtadaki bir veri merkezinde işlenebilir, bir kuyruktan geçirilebilir, bir depolama alanında önbelleğe alınabilir ve bunu bilmenizin hiçbir yolu olmaz. Kişisel bir tatil fotoğrafı için sorun değil. Ama müşteri verileriyle dolu bir sözleşme için, belgeleyemeyeceğiniz bir uluslararası aktarımı sessizce yapmış olursunuz.
En aza indirme, herkesin unuttuğu ilke
GDPR’ın veri en aza indirme adında bir ilkesi var. Yalnızca gerçekten ihtiyaç duyduğunuz kişisel veriyi, en az müdahaleci biçimde işlemelisiniz. Bir de kuzen ilke var: gizliliği sonradan değil, bir süreci tasarlarken düşünün.
Bunu PDF sıkıştırma gibi basit bir göreve uygulayın. Bir müşterinin sözleşmesini küçültmek için onu üçüncü taraf bir sunucuya göndermeniz gerekir mi? Hayır. Sıkıştırma kendi makinenizde gerçekleşebilir. Dosyayı dışarı göndermek, yalnızca bir dosya boyutu değişikliği için bir veri işleyen, sahip olmadığınız bir sözleşme ve belki de gerekçelendiremeyeceğiniz bir aktarım ekler. Bu, en aza indirmenin tam tersidir.
Yerel işleme bunların çoğunu neden aşar
İşte tüm sorunu küçülten kısım. Dosya cihazınızdan hiç çıkmazsa, hiçbir üçüncü taraf onu işlemez. Veri işleyen yoksa, peşinde koşulacak bir Madde 28 sözleşmesi de yoktur. Hiçbir şey sınırı geçmediği için, gerekçelendirilecek bir aktarım da yoktur. Hâlâ veri sorumlususunuz, ilgili kişiye karşı olağan özeni hâlâ borçlusunuz, ama evrak işinin büyük bir kısmı basitçe geçerli olmaz, çünkü verilere başka kimse dokunmamıştır.
İşte tamamen tarayıcınızda çalışan araçların arkasındaki fikir budur. Kod işi yerel olarak, bilgisayarınızın belleğinde yapar ve PDF’iniz yerinde kalır. reader.me’yi işte böyle kurduk. Bir PDF’i sıkıştırdığınızda, dosya tarayıcınızda işlenir ve bizim hiçbir sunucumuza ulaşmaz. Tarayıcınızın DevTools’unu açın, Network sekmesini izleyin ve belgenizle ilgili hiçbir şeyin dışarı çıkmadığını doğrulayabilirsiniz.
İşletmeler ve serbest çalışanlar için pratik adımlar
Sizi işin doğru tarafında tutacak birkaç alışkanlık:
- Ad, kimlik veya iletişim bilgisi içeren her belgeyi kişisel veri olarak ele alın. Faturalar, sözleşmeler, özgeçmişler ve sağlık formlarının hepsi buna girer.
- Bir bulut aracına bir şey yüklemeden önce, veri işleyenin kim olduğunu sorun. Veri İşleme Sözleşmesi yoksa, sunucu konumu hakkında net bir cevap yoksa, müşteri verisini oradan geçirmeyin.
- Sıkıştırma, birleştirme ya da bölme gibi rutin işler için varsayılan olarak yerel araçları kullanın. Tarayıcınızda çalışabiliyorsa, incelenecek bir veri işleyen yoktur.
- Hangi hizmetlerin kişisel veriye dokunduğuna dair kısa bir kayıt tutun. GDPR zaten veri sorumlularının bunu bilmesini bekler.
- Gerçekten bir bulut hizmetine ihtiyacınız olduğunda, gerçek bir Veri İşleme Sözleşmesi sunan ve verilerin nerede durduğunu söyleyen birini seçin.
Kurallar ağır geliyor olabilir, ama günlük çözüm hafif. Çoğu PDF işi hiçbir sunucuya ihtiyaç duymaz. Dosyayı kendi makinenizde tutun, hukuki yükün çoğu en başından üzerinize hiç binmesin.