Запрос рабочего файла в соответствии с Общими правилами защиты данных (GDPR)

У меня был запрос на предоставление клиенту всех его файлов (включая документы InDesign) из-за Общих правил защиты данных (GDPR). Мой клиент также хочет, чтобы я удалил файлы с моей машины. Мне действительно неудобно это делать, поскольку затраченное время будет потеряно, потому что они не захотят платить.

Как мне ответить на такой запрос?

TL: DR. Клиент в корне ошибается относительно типа данных, охватываемых GDPR, хотя, возможно, в файлах, которые включены в него, есть вещи. Вы не должны отправлять им файлы, хотя вам нужно ответить с какой-либо личной информацией в них.

Я занимаюсь защитой данных для своей компании, поэтому много читал об этом. Я определенно не юрист, так что кучу всего нужно взять с щепоткой соли. Тем не менее, этот пример имеет довольно четкий правильный курс действий:

• GDPR охватывает только личную информацию, относящуюся к лицам https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

• Это означает, что единственное, что в вашем дизайне влияет на GDPR - это личная информация.

• Поэтому ваш ответ должен охватывать только личную информацию, содержащуюся в вашем дизайне. Вы положили личный адрес электронной почты в их? Есть ли имя клиента или адрес в тексте? какие-нибудь фотографии клиентов или людей вообще? Если это так, отправьте им электронное письмо с указанием личной информации, которую вы нашли в дизайне, и спросите, хотят ли они, чтобы вы удалили эти конкретные биты.

• Если они говорят «да», удалите адреса электронной почты / любые имена / фотографии клиентов и любую другую личную информацию, которую вы можете найти.

• Не забудьте также удалить его из любых ваших резервных копий и из истории файла. Если вы чувствуете себя дружелюбно, вы можете указать, что это сделает файлы труднее использовать для них

• Они абсолютно не могут заставить вас передать право собственности на файлы в рамках GDPR. Если иное не указано в договоре, они остаются вашей интеллектуальной собственностью.

Изменить: забыл важный бит. Это относится только к персональным данным лица, делающего запрос. Все остальное, даже данные одного из их сотрудников, не покрываются, и вы, вероятно, не можете и не должны передавать эти данные. Их сотрудники должны будут сделать свои собственные запросы на свои личные данные. Однако, чтобы защитить себя, вероятно, стоит проверить и удалить ненужную личную информацию, которой вы владеете.

Надеюсь, это полезно!

Не имеет значения, ПОЧЕМУ клиент хочет, чтобы вы удалили свои файлы и отправили им все.

Мне кажется, что клиент использует GDPR в качестве оправдания и ничего более. Я имею в виду, что практически любой дизайн является рекламным материалом, и любая возможная личная информация - имя, адрес, контакт, электронная почта и т. Д. - была обнародована посредством самих рекламных акций. Это не «личные данные». Ваш клиент, на мой взгляд, ужасно схематичен.

Плата за доставку файла. После того, как вы получите компенсацию, отправлять файлы и письмо , объясняющее все файлы будут удален из ваших машин и резервных копий , и вы больше не будете сохранять любые файлы , связанные с клиентом, когда вы были уведомлены они получили файлы. Затем войдите и фактически удалите все после получения подтверждения получения (так как они заплатили за это).

Помните, что даже если они платят вам , вы не можете отправлять им шрифты или изображения, которые вы купили и использовали. Те , как правило , лицензированы для вас и обмена этих пунктов поставят вас в нарушении лицензионного соглашения , связанное с ними. Клиенту нужно будет пойти и купить все необходимые шрифты и изображения для поддержки дизайна.

Это проблема клиента, если позже ему нужно что-то изменить или создать. Вы просто должны быть уверены, что вам заплатили за файлы.

Если клиент не хочет платить ни за что ... не дают им файлы, не удаляйте ничего . Это ваши файлы . Никакая внешняя сторона не может заставить вас делать что-либо с активами вашего бизнеса (кроме правоохранительных органов).

Если клиент начинает колебаться и становится воинственным и требует файлов, просто вежливо откажитесь, если оплата не получена.

В худшем случае вы теряете этого клиента (что вы будете делать в любом случае из-за звука вещей), и клиент чувствует, что ему нужно сделать какое-то представление по этому вопросу и подать иск или что-то в этом роде. Иск, на мой взгляд, имеет низкую вероятность. Тем не менее, они могут использовать это в качестве тактики, чтобы заставить вас делать то, что они хотят. Хотя я не юрист , я сомневаюсь, что они выиграют иск, вынуждающий вас забрать активы вашего бизнеса.

Короче говоря, моя позиция будет такой:

Я счастлив Цена на все файлы составляет $ X. Как только платеж получен, я перешлю все, что у меня есть, а затем удалю все из моих систем, как только узнаю, что вы его получили.

Клиент:

Мы не платим

Мне:

Тогда извини. Я не буду доставлять файлы или удалять что-либо без оплаты.

Клиент:

Мы будем судиться!

Мне:

Ладно. Вы можете делать то, что считаете нужным. Стоимость моих бизнес-активов, связанных с работой, которую я выполнил для [название компании], составляет $ x. Я очень рад выполнить ваш запрос после получения оплаты. Спасибо.

Я работал над очень секретными проектами, где данные компании были частными и предназначались для того, чтобы оставаться частными в небольшой группе. Это всегда представлялось мне как высокочувствительные данные, которые «нельзя никому передавать». Я не говорю о каком-либо соглашении о неразглашении, о более общих данных, которые я имел в распоряжении для завершения проекта (в основном финансовые показатели компании). Клиенты этих проектов всегда представляли этот вопрос заранее в начале проектов. Итак, я знал о конфиденциальности. Но даже имея дело с многомиллионными компаниями таким образом, они никогда не просили, чтобы я удалял и удалял мои файлы, они просто просили меня сохранить конфиденциальность файлов.

Если бы эти клиенты попросили меня удалить вещи и отправить им все файлы, я бы, конечно, понял запрос . Но я бы также взял плату за доставку файлов.

Если бы они просто хотели, чтобы я удалил файлы без их доставки, я бы, вероятно, договорился об урегулировании ... как в ... Я удаляю личные данные из кусочков, но сохраняю дизайн в такте для использования в качестве образцов портфеля. Предоставление им одобрения измененных конструкций, чтобы они могли убедиться, что личная информация была удалена.

Работа по найму : если вы работаете по договору о найме или «работаете по найму», то они фактически владеют всем. Выполните их запрос без оплаты или выдачи. Файлы не твои.

Это не юридическая консультация, поэтому не принимайте ее как таковую. Вы действительно можете читать о GDPR. Но не просто Google для этого перейдите непосредственно к источнику:

1. Что Европейская комиссия должна сказать о GDPR
2. Фактическое регулирование также доступно

Теперь GDPR ничего не говорит о выпуске исходных файлов. Вместо этого это довольно разумно по объему. Что это в основном говорит:

• Личные данные важны
• У вас должна быть причина хранить личные данные
• Вам необходимо задокументировать, какие данные вы храните, почему, с какой целью и на какой срок. Как можно проще, с документом, доступным для ваших клиентов.
• Лицо, которому принадлежат личные данные, имеет право попросить проверить данные. Это может быть сделано разными способами, но это не указывает, что означает, что вам нужно дать его в той форме, в которой вы его сохранили.
• Человек имеет право вносить исправления в персональные данные
• Лицо имеет право потребовать удаления персональных данных
• Это также говорит вам, что вы не можете использовать данные без ограничений
  • Так что нельзя просто отдать его третьим лицам
• Вы должны защищать такие данные от третьих лиц и злоупотреблять ими.

В нем также рассматриваются некоторые вопросы о том, как получить согласие и так далее.

Таким образом, ваш клиент может запросить проверку сохраненных данных и политики хранения данных (например, для целей оплаты). Это не обязательно должен быть файл inDesign, например, вы можете скопировать соответствующие части из текста и отправить его клиенту, например, если и только если это начальные данные клиента.

Но я не юрист, я почти ничего не знаю о том, как европейские юристы будут толковать относительно неопределенные определения.

PS: Если вы думаете, что GDPR действительно строг и жесток. Да, это всего лишь признак легализации законного поведения. Когда что-то, что вы должны были сделать, в любом случае записывается в закон, все разумные действия теряются, поскольку закон - это очень грубый инструмент, который применим ко всем по своему охвату, разумному или нет.

GDPR - сложная ситуация, и все зависит от того, какой контракт у вас с вашим клиентом. Так что это в основном юридический вопрос, прежде чем перейти к части InDesign.

Кроме того, GDPR - это серьезная юридическая проблема для компаний, которая связана с несколькими издержками, а GDPR не заставляет вас, как стороннего поставщика, раздавать файлы бесплатно.

Теоретически они могут принять меры для защиты запатентованной работы, выполняемой третьими сторонами, но на практике вы, с другой стороны, можете установить цену за передачу файлов.

Однако, если вы выполняли работу в качестве сотрудника, вам, вероятно, не придется много играть, и вам нужно будет все снабдить и удалить со своего персонального компьютера.

Также смотрите этот вопрос: долгосрочный клиент хочет рабочие файлы

Я не понимаю, какое отношение ВВПР имеет к вашим файлам.

Если вы работаете с личными данными, предоставленными вашим клиентом, вы удаляете те файлы и другие, которые содержат эти данные (например, рабочие файлы), и выдает клиенту заявление о том, что вы сделали это.

Это защищает клиента в случае возникновения каких-либо проблем; они могут показать, что данные были уничтожены.

Предоставление файлов для них - это совсем другое дело и требует платы. Либо описано в контракте, либо указано в совершенно новом только для обработки файлов.

Эти две вещи не связаны друг с другом. Даже в GDPR руководства по «хорошей практике» утверждают, что файлы данных должны быть уничтожены, а не возвращены поставщику.

Под GDPR вы должны удалить личные данные. Это ничего не говорит о ваших деловых файлах или ваших продуктах. Не отдавай их. Вы не обязаны отдавать эти файлы.

Вы обязаны предоставить только обзор собранных данных, это может быть текстовый файл, описывающий, какие данные у вас есть и где. Вы также обязаны при запросе обновить данные или удалить их.

Кроме того, не забывайте налоговые законы. Согласно большинству налоговых законов, вы обязаны хранить данные в течение X лет, если вы получили деньги для целей аудита. Удаление этой информации может на самом деле быть незаконным / привести к большим проблемам во время аудита.

То, что вам нужно будет сделать, - это проверить, какая личная информация у вас есть о клиенте (где вы уже должны были иметь)

Отправляйте скриншоты личных данных в документах, которые вы сделали. Отправить резюме, какие данные у вас есть, где. Составьте список данных, которые вы не можете законно удалить (распечатанные счета-фактуры, выписки из банковского счета и т. Д.), Но сообщите ему, когда они будут удалены после истечения срока аудита. Вы можете анонимизировать его в программном обеспечении для аудита, отметив, что реальная информация находится в распечатанных архивных документах для аудита.

Также документируйте запрос на удаление. Храните его распечатанным в папке где-то, сообщите частному лицу, что это также место, где будут храниться его данные, просто чтобы вы могли прикрыть свою задницу.

Помните, что вы можете анонимизировать данные, а не удалять их. Таким образом, изменение адресов электронной почты на nobody@example.com, чтобы сохранить стабильность бухгалтерского программного обеспечения и т. Д ...)