Skip to content
reader.me

GDPR і документи: що закон каже про завантаження PDF

Завантаження PDF з персональними даними в хмарний інструмент може запустити обов'язки за GDPR. Що вважається обробкою, хто є обробником і чому локальна обробка перемагає.

AG Antonia González · 23 червня 2026 р. · 7 хв читання

Ви перетягуєте рахунок-фактуру в безкоштовний онлайн-інструмент, щоб його зменшити. На ньому ім’я клієнта, адреса, можливо, податковий номер. За п’ять секунд ви маєте менший файл і йдете далі. Чи сталося щойно щось юридично значуще?

За GDPR — цілком можливо, що так. І більшість людей про це навіть не замислюються, бо документ виглядав нешкідливо, а інструмент виглядав безкоштовним.

Це не юридична консультація. Я не ваш юрист, і кожна ситуація має свої деталі. Але форму правил варто розуміти, бо вона змінює те, як вам слід поводитися з документами, що містять чужі дані.

Що GDPR називає «обробкою»

Люди вважають, що GDPR — про бази даних і маркетингові списки. Насправді визначення набагато ширше. Обробка — це майже будь-що, що ви робите з персональними даними: збирання, зберігання, читання, зміна, поширення, видалення. Регламент буквально перелічує «ознайомлення» та «використання» як форми обробки.

Тож коли ваш PDF містить персональні дані (вже досить імені плюс номера телефону), і ви щось робите з цим файлом — ви обробляєте персональні дані. Стиснення рахується. Об’єднання рахується. Конвертація рахується.

Саме по собі це не проблема. Бізнеси обробляють персональні дані цілий день. Питання, яке ставить GDPR, — як ви це робите і хто ще торкається даних на цьому шляху.

Чому завантаження вводить «обробника»

Ось де має значення хмарна частина. Коли ви завантажуєте цей рахунок у зовнішній сервіс, файл залишає ваш контроль і опиняється на чужих серверах. Тепер ця компанія обробляє персональні дані від вашого імені. У GDPR для них є назва: обробник. Ви, той, хто вирішив це зробити, — контролер.

Щойно з’являється обробник, у контролера виникають реальні обов’язки. Головний — стаття 28: вам потрібен письмовий договір із цим обробником, який часто називають Угодою про обробку даних. Він має чітко зазначати, що вони можуть робити з даними, як їх захищають, коли видаляють і чи можуть передати їх комусь іще.

Зупиніться й подумайте про той безкоштовний інструмент для PDF, яким ви користувалися минулого місяця. Чи підписали ви з ними DPA? Чи прочитали, де розташовані їхні сервери? Чи перевірили, хто їхні субобробники? Майже напевно ні. Ви завантажили файл із чужими персональними даними до компанії, з якою у вас немає жодного договору. Ось у чому прогалина.

Пастка міжнародної передачі

Стає ще складніше, коли сервери розташовані за межами ЄС. Надсилання персональних даних провайдеру в іншій країні — це передача, а GDPR такі обмежує. Для неї потрібна дійсна правова підстава, як-от стандартні договірні положення чи рішення про адекватність для тієї країни.

Більшість безкоштовних інструментів не повідомляють, де вони працюють. Файл може оброблятися в дата-центрі на іншому континенті, пройти через чергу, кешуватися у сховищі, а ви не матимете жодного способу про це дізнатися. Для особистої фотографії з відпустки — гаразд. Для договору, повного клієнтських даних, ви тихо здійснили міжнародну передачу, яку не можете задокументувати.

Мінімізація — принцип, який усі забувають

У GDPR є принцип, що зветься мінімізацією даних. Ви маєте обробляти лише ті персональні дані, які дійсно потрібні, і в спосіб, що найменше втручається. Є й споріднений принцип: думайте про приватність, коли проєктуєте процес, а не після.

Застосуйте це до простого завдання на кшталт стиснення PDF. Чи потрібно вам відправляти договір клієнта на сторонній сервер, щоб зробити його меншим? Ні. Стиснення може відбутися на вашій власній машині. Відправлення назовні додає обробника, договір, якого у вас немає, і, можливо, передачу, яку ви не можете обґрунтувати — і все це заради зміни розміру файлу. Це протилежність мінімізації.

Чому локальна обробка обходить більшість цього

Ось частина, яка робить усю проблему меншою. Якщо файл ніколи не залишає ваш пристрій, жодна третя сторона його не обробляє. Немає обробника — немає договору за статтею 28, який треба добувати. Ніщо не перетинає кордон, тож немає передачі, яку треба обґрунтовувати. Ви все ще контролер, ви все ще винні суб’єкту даних звичну дбайливість, але значна частина паперової роботи просто не застосовується, бо ніхто інший не торкнувся даних.

Це і є ідея, що стоїть за інструментами, які працюють повністю у вашому браузері. Код виконує роботу локально, у пам’яті вашого комп’ютера, а ваш PDF лишається на місці. Саме так ми побудували reader.me. Коли ви стискаєте PDF, файл обробляється у вашому браузері й ніколи не досягає жодного нашого сервера. Відкрийте DevTools браузера, спостерігайте за вкладкою Network — і ви переконаєтеся, що ніщо з вашим документом не виходить назовні.

Практичні кроки для бізнесу та фрилансерів

Кілька звичок, які тримають вас на правильному боці:

  • Ставтеся до будь-якого документа з іменами, ідентифікаторами чи контактними даними як до персональних даних. Рахунки, договори, резюме та медичні форми — усе це підпадає.
  • Перш ніж щось завантажувати в хмарний інструмент, запитайте, хто є обробником. Немає DPA, немає чіткої відповіді про розташування серверів? Не пропускайте через нього клієнтські дані.
  • За замовчуванням використовуйте локальні інструменти для рутинних завдань на кшталт стиснення, об’єднання чи розділення. Якщо це може працювати у вашому браузері, немає обробника, якого треба перевіряти.
  • Ведіть короткий облік того, які сервіси торкаються персональних даних. GDPR і так очікує, що контролери це знають.
  • Коли вам справді потрібен хмарний сервіс, оберіть той, що пропонує реальний DPA і повідомляє, де зберігаються дані.

Правила звучать важко, але повсякденне рішення легке. Більшість роботи з PDF узагалі не потребує сервера. Тримайте файл на своїй машині — і більшість юридичного тягаря просто не ляже на вас від самого початку.