Запит робочого файлу через Загальний регламент захисту даних (GDPR)

У мене був запит надати клієнту всі його файли (включаючи документи InDesign) завдяки Загальному регламенту щодо захисту даних (GDPR). Мій клієнт також хоче, щоб я видалив файли зі своєї машини. Мені справді не комфортно це робити, оскільки час, що займається, також буде втрачено, оскільки вони не хочуть платити.

Як я повинен відповісти на такий запит?

TL: DR Клієнт принципово помиляється щодо типу даних, які охоплюються GDPR, хоча у файлах, що охоплюються, можливо, є речі. Не слід надсилати їм файли, хоча вам потрібно реагувати на будь-яку особисту інформацію в них.

Я виконую деякі роботи з захисту даних для своєї компанії, тому я багато читав навколо цього. Я точно не юрист, тому купу цього слід брати з дрібкою солі. Однак, цей приклад має досить чіткий правильний хід дій:

• GDPR охоплює лише особисту інформацію, що стосується приватних осіб https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

• Це означає, що єдине, на що у вашому дизайні впливає GDPR, - це особиста інформація

• Отже, ваша відповідь повинна охоплювати лише особисту інформацію, що міститься у вашому дизайні. Ви вказали свою особисту електронну адресу? Чи є в тексті ім’я або адреса клієнта? будь-які фотографії клієнтів чи людей взагалі? Якщо так, надішліть їм електронний лист із зазначенням особистої інформації, яку ви знайшли в дизайні, і запитайте, чи хотіли б ви видалити ці конкретні біти

• Якщо вони скажуть «так», видаліть електронні адреси / будь-які імена / фотографії клієнта будь-яку іншу особисту інформацію, яку ви можете знайти.

• Не забудьте також видалити його з будь-яких у вас резервних копій та з історії файлу. Якщо ви відчуваєте доброзичливість, ви, можливо, захочете зазначити, що це ускладнить використання файлів для них

• Вони абсолютно не можуть змусити вас передати право власності на файли згідно GDPR. Якщо це не зазначено в договорі, вони залишаються вашою інтелектуальною власністю.

Редагувати: забув важливий біт. Це стосується лише персональних даних особи, яка робить запит. Ніщо інше, навіть дані одного з їх співробітників, не охоплюється, і ви, мабуть, не можете і не повинні передавати будь-які дані. Їх працівники повинні будуть робити власні запити щодо своїх особистих даних. Щоб захистити себе, однак, напевно, варто переглянути та видалити будь-яку непотрібну особисту інформацію, яку ви маєте.

Сподіваюся, що це корисно!

Насправді не важливо ЧОМУ клієнт хоче, щоб ви видалили свої файли та надсилали їм усе

Мені здається, клієнт використовує GDPR як привід і нічого більше. Я маю на увазі, що практично будь-який дизайн є рекламним матеріалом, і будь-яка можлива особиста інформація - ім’я, адреса, контакт, електронна пошта тощо - оприлюднюється публічно через самі акції. Це не "особисті збережені дані". Тут, на мою думку, ваш клієнт дуже жахливий.

Сплата за доставку файлу. Після отримання платежу надішліть файли та лист із поясненням, що всі файли будуть вилучені з ваших машин та резервних копій, і ви більше не зберігатимете жодні файли, пов’язані з клієнтом, як тільки ви отримаєте повідомлення про їх отримання. Потім увійдіть і фактично видаліть все після отримання підтвердження про отримання (оскільки вони за це заплатили).

Пам’ятайте, навіть якщо вони вам платять , ви не можете надсилати їм жодних куплених та використаних шрифтів чи запасів. Ті , як правило , ліцензовані для вас і обміну цих пунктів поставлять вас в порушенні ліцензійної угоди , пов'язане з ними. Клієнту потрібно буде придбати будь-які необхідні шрифти та зображення для підтримки дизайну.

Це проблема клієнта, якщо їм пізніше потрібно щось змінити або створити. Ви просто повинні бути впевнені, що вам заплатили за файли.

Якщо клієнт не хоче платити ні за що ... не дайте їм файли, не видаляйте нічого . Вони - ваші файли . Жодна сторона не може змусити вас робити що-небудь зі своїми комерційними активами (крім правоохоронних органів).

Якщо клієнт починає вафлінг, стає войовничим і вимагає файлів, просто ввічливо відмовляйтеся, якщо не буде отримано оплату.

Гірший випадок, ви втрачаєте цього клієнта (що ви все одно хочете зробити зі звуку речей), і клієнт вважає, що їм потрібно зробити якесь видовище з цього питання і подати позов чи щось. Костюм, на мою думку, має низьку ймовірність. Однак вони можуть довести це до використання як тактики щодо знущань з вами робити те, що вони хочуть. Хоча я не юрист , я сумніваюся, що вони виграють позов, змусивши вас зняти ділові активи.

Коротше кажучи, моя позиція була б такою:

Я задоволений. Ціна всіх файлів становить $ X. Після отримання платежу я перешлю все, що є, а потім видаляю все з моїх систем, як тільки я знаю, що ви його отримали.

Клієнт:

Ми не платимо

Я:

Тоді мені шкода. Я не буду доставляти файли і нічого не видаляти без оплати.

Клієнт:

Ми подамо в суд!

Я:

Добре. Ви вільні робити те, що вважаєте за потрібне. Ціна активів мого бізнесу, оскільки вони пов'язані з роботою, яку я закінчив [назва компанії], становить $ x. Я дуже радий виконати ваш запит після отримання платежу. Дякую.

Я працював над дуже секретними проектами, де дані компанії були приватними і мали намір залишатися приватними в невеликій групі. Мені це завжди подавали як дуже чутливі дані, які "не можна ділитися ні з ким". Я не говорю про будь-яку угоду про нерозголошення, більш загальні дані, до яких я мав таємницю, щоб завершити проект (в основному фінансові компанії). Клієнти цих проектів завжди представлені це питання фронту в початку проектів. Отже, я усвідомлював конфіденційність. Але навіть маючи багатомільйонні компанії таким чином, вони ніколи не просили, щоб я видаляв і видаляв свої файли, вони просто просять, щоб я підтримував конфіденційність файлів.

Якби ці клієнти попросили мене видалити речі та надіслати їм усі файли, я б точно зрозумів запит . Але я також неодмінно зажадаю їх за доставку файлів.

Якби вони просто хотіли, щоб я видалив файли, не доставляючи їх, я, мабуть, домовився б про врегулювання ... як і в ... Я видаляю приватні дані з фрагментів, але зберігаю дизайн в такті для використання в якості зразків портфоліо. Надавши їм схвалення змінених конструкцій, щоб вони могли перевірити, чи приватна інформація була видалена.

Робота за наймом : якщо ви підпадаєте під дію угоди про найм, або "працівник", вони фактично володіють усім. Задовольнити їх запит без оплати чи видачі. Файли не ваші.

Це не юридична порада, тому не сприймайте її як таку. Ви, можливо, захочете почитати на GDPR. Але не просто Google перейдіть безпосередньо до джерела:

1. Що Європейська комісія повинна сказати про GDPR
2. Фактичне регулювання також є

Зараз GDPR нічого не говорить про випуск вихідних файлів. Натомість це досить розумно за обсягом. В основному це говорить:

• Особисті дані важливі
• Вам потрібно мати привід зберігати особисті дані
• Вам потрібно документувати, які дані ви зберігаєте, чому, з якою метою і на який термін. Як можна простіше, з документом, доступним для ваших клієнтів.
• Особа, щодо якої стосуються персональних даних, має право попросити переглянути дані. Це можна зробити багатьма способами, але це не вказує, що означає, що вам потрібно надати його в тій формі, в якій ви його зберегли.
• Особа має право вносити виправлення в персональні дані
• Особа має право вимагати видалення персональних даних
• Це також говорить вам, що ви не можете використовувати дані без обмежень
  • Тож не можна просто давати його третім особам
• Ви повинні захищати такі дані від сторонніх осіб та неправомірного використання.

Він також вирішує кілька речей про те, як збирати згоду тощо.

Таким чином, клієнт може подати запит на перегляд збережених вами даних та політику збереження даних, яку ви маєте (наприклад, для оплати). Це не обов'язково повинен бути файлом inDesign, ви можете скопіювати відповідні частини, наприклад, з тексту та надіслати його, наприклад, клієнтові, якщо і лише якщо це дані клієнтів.

Але я не юрист, я майже нічого не знаю про те, як відносно нечіткі визначення будуть трактуватися європейським юристом.

PS: Якщо ви думаєте, що GDPR дійсно суворий і важкий. Так, це лише симптом необхідності легалізувати обгрунтовану поведінку. Коли щось, що ви повинні були робити, все-таки записується в закон, то всі види розумної поведінки втрачаються, оскільки закон є дуже тупим інструментом, який застосовується до всіх за обсягом, розумним чи ні.

GDPR - це складна ситуація, і все залежить від того, який контракт ви маєте зі своїм клієнтом. Отже, це здебільшого юридичне питання, перш ніж перейти до частини InDesign.

Крім того, GDPR є основною юридичною проблемою для компаній, яка пов'язана з численними витратами, і GDPR не змушує вас як сторонній постачальник надавати файли безкоштовно.

Теоретично вони можуть вживати заходів для захисту власницької роботи, виконаної третьою стороною, але на практиці ви, з іншого боку, можете встановити ціну за передачу файлів.

Однак якщо ви виконали роботу як працівник, вам, ймовірно, не доведеться багато грати, і вам потрібно буде все поставити та видалити все з особистого комп’ютера.

Також дивіться це питання: Клієнт довгострокової роботи хоче працювати з файлами

Я не розумію, що GDPR стосується ваших файлів.

Якщо ви працюєте над Особистими даними, які надав ваш клієнт, ви видаляєте ті файли та інші файли, які містять дані (наприклад, робочі файли) та видаєте клієнту заяву, що ви це зробили.

Це захищає клієнта у випадку, якщо щось виникає; вони можуть показати, що дані були знищені.

Постачання файлів для них - зовсім інша річ і вимагає плати. Або описано в договорі, або зазначено в абсолютно новому лише для обробки файлів.

Ці дві речі не пов'язані між собою. Навіть у GDPR посібники з «доброї практики» стверджують, що файли даних повинні бути знищені, а не повернуті постачальнику.

Відповідно до GDPR, ви повинні видалити особисті дані. Це нічого не говорить про ваші бізнес-файли чи продукти. Не віддавайте їх. Ви не зобов'язані надавати ці файли.

Ви зобов'язані надати лише огляд зібраних даних, це може бути текстовий файл, який описує, які дані у вас є, де. Ви також зобов'язані, коли просять оновити дані або видалити їх.

Крім того, не забувайте про податкове законодавство. Відповідно до більшості податкових законів, вам потрібно зберігати дані протягом X років, якщо ви отримували гроші для аудиторських цілей. Видалення цієї інформації насправді може бути незаконним / спричинить багато проблем, коли відбудеться аудит.

Що вам доведеться зробити, це перевірити, яку особисту інформацію ви маєте від замовника, де (що ви вже повинні мати)

Надсилайте скріншоти особистих даних у зроблені вами документи. Надішліть резюме, які дані у вас є, де. Складіть список даних, які ви не можете законно видалити (друковані рахунки-фактури, виписки з банківського рахунку тощо), але повідомте йому, коли вони будуть видалені, коли термін аудиту закінчився. Ви можете анонімізувати це в аудиторському програмному забезпеченні, зазначати, що реальна інформація міститься на надрукованих архівних документах для аудиту.

Також документуйте запит на видалення. Зберігайте його надрукованим десь у папці, повідомляйте приватну особу, що це теж місце, де будуть зберігатися його дані, просто так, щоб ви могли прикрити свою дупу.

Пам'ятайте, що ви можете анонімізувати дані замість прямого видалення. Таким чином, змінюючи електронні листи на none@example.com, щоб зберегти стабільність облікового програмного забезпечення тощо ...)