根据通用数据保护法规(GDPR)的工作文件要求


13

由于《通用数据保护条例》(GDPR),我曾要求向客户提供其所有文件(包括InDesign文档)。我的客户还希望我从计算机上删除文件。我真的不愿意这样做,因为所涉及的时间也将浪费,因为他们不想付钱。

我应该如何回应这样的请求?



11
取决于您存储的工作的性质。GDPR仅适用于个人数据。
西区'18

1
@WELZ是的,这就是我的意思。如果它是汤罐头的标签,则不在GDPR范围内。OP并没有说任何一种方式,因此我们需要更多信息来提供帮助。我的理解是,GDPR必须是与个人而非公司相关的数据。如果不是这种情况,那么他的客户可能只是尝试一下。
西区

5
我同意@Scott所说,您的客户似乎很粗略。在我看来,如果您必须格外小心地处理数据,那么在进行此工作之前您会收到通知,并且客户应要求您签署某种合同,说明可以使用或不能使用数据。否则,您的客户可能会搞砸数据处理,现在正争先恐后地纠正错误,这实际上是要解决的问题,而不是您的问题。
好奇

1
另请参见第6.1(b)条“对于履行合同而言,必须进行处理”和第6.1(f)条“出于控制人追求的合法利益而进行处理”-客户撤回对个人数据的同意可能无关紧要(在这种情况下,忽略请求本身是可疑的事实)。
紧缩

Answers:


26

TL:DR尽管从本质上来说,客户可能误认为GDPR涵盖的数据类型,但文件中可能包含某些内容。尽管您确实需要使用文件中的任何个人信息进行回复,但您不应向他们发送文件。

我正在为我的公司做一些数据保护工作,因此我已经阅读了很多有关此的内容。我绝对不是律师,因此,一小撮盐就应该服用。就是说,这个例子有一个相当明确的正确的做法:

  • GDPR只涉及有关个人的个人信息https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • 这意味着GDPR在您的设计中唯一影响的是个人信息

  • 因此,您的答复应仅涵盖设计中包含的个人信息。您是否在他们的个人电子邮件地址中放入了电子邮件?文本中是否有客户名称或地址?客户或一般人的照片吗?如果是这样,请向他们发送电子邮件,说明您在设计中找到的个人信息,并询问他们是否要删除这些特定位

  • 如果他们同意,请删除电子邮件地址/任何名称/客户照片以及您可以找到的其他任何个人信息。

  • 切记还要从拥有的所有备份以及文件的历史记录中将其删除。如果您感到友好,则可能要指出,这会使文件更难以使用

  • 他们绝对不能强迫您根据GDPR移交文件的所有权。除非合同中另有规定,否则它们仍然是您的知识产权。

编辑:忘记了重要的一点。这仅适用于提出请求的人的个人数据。其他任何事情,甚至包括他们一个雇员的数据,都不会被涵盖,您可能无法也不应将任何数据移交给其他人。他们的员工将不得不提出自己的个人数据请求。但是,为了保护自己,可能值得检查并删除您持有的任何不必要的个人信息。

希望对您有所帮助!


5
我认为,如果第一个要点为“ GDPR仅涵盖与生活中个人相关的个人信息,而不是出于家庭目的,则将更为完整”。你的朋友在您的手机,您持有的信息,你的目的,而不是你的生意的,不是盖的。
安德鲁·里奇

15

客户端为什么要您删除文件并发送所有内容,这并不重要。

在我看来,客户使用GDPR作为借口,仅此而已。我的意思是,实际上任何设计都是促销材料,任何可能的个人信息(姓名,地址,联系方式,电子邮件等)都是通过促销本身公开的。这不是“个人存储的数据”。我认为您的客户在这里非常粗略。

文件交付收费。之后你收到付款,发送的文件和一封信解释一切都会从你的机器和备份被删除的文件,你将不再保留任何相关的客户端文件,一旦你已通知他们收到的文件。然后,在收到收据确认后(因为他们已为此付款),请进入并实际删除所有物品。

请记住,即使他们付钱给您,您也无法将购买和使用的任何字体或库存图片发送给他们。这些产品通常已获得您的许可,共享这些项目将使违反与它们相关的任何许可协议。客户将需要去购买任何必要的字体和图像以支持设计。

如果客户后来需要更改或创建某些内容,这将是客户的问题。您只需要确定您已支付文件费用。

如果客户不想支付任何费用...不要给他们文件,也不要删除任何东西。它们是您的文件。任何外部方都不能强迫您对您的企业资产做任何事情(执法部门除外)。

如果客户开始胡扯,变得好战并要求文件,除非收到付款,否则请礼貌地拒绝。

更糟糕的情况是,您失去了这个客户(无论如何,您都会做这件事),并且客户觉得他们需要对此事进行一些说明,并提起诉讼或其他事项。我认为这套衣服的可能性很小。但是,他们可能会利用这种策略来欺负您以做他们想要的事情。虽然我不是律师,但我怀疑他们会赢得诉讼,迫使您删除您的业务资产。

简而言之,我的立场是:

我很高兴 所有文件的价格为$ X。收到付款后,我将转发我所拥有的一切,然后在知道您已收到后将其从系统中删除。

客户:

我们不付款

我:

那我很抱歉 没有付款,我不会提供文件或删除任何内容。

客户:

我们会起诉!

我:

好的。您可以自由地做自己认为必要的事情。与我为[公司名称]完成的工作相关的企业资产的价格为$ x。收到付款后,我很高兴满足您的要求。谢谢。


我曾在高度机密的项目中工作,这些项目中公司数据是私有的,并打算在一个小组中保持私有。这是始终呈现在我面前的是“不被与任何人共享的”高度敏感的数据。我不是在谈论任何保密协议,而是我为了完成一个项目而拥有的更一般的数据(主要是公司财务状况)。这些项目的客户总是在项目开始就提前提出此事。因此,我知道了保密性。但是,即使以这种方式与价值数百万美元的公司打交道,他们也从未要求我删除和删除文件,而只是要求我维护文件的隐私。

如果这些客户要我删除内容并将所有文件发送给他们,我当然会理解该请求的。但我当然也会向他们收取文件交付费用

如果他们只是想让我删除文件而不交付它们,我可能会商定和解...,就像...我从文件中删除了私人数据,但保持设计完整无缺,可以用作投资组合样本。让他们批准变更后的设计,以便他们可以验证私人信息已被删除。


雇用工作:如果您是根据雇用工作协议或“雇员”,那么他们实际上拥有一切。符合他们的要求,无需付款或签发。这些文件不是您的。


这是否意味着人们有使用有害的昂贵字体和插件的动机?)
joojaa

其实@Joojaa-对我来说意味着我不在乎。我购买并使用了我认为效果很好的字体,如果它们的价格是5美元还是500美元,那就没关系了。我从不打算在以后提供设计文件,因此客户负担永远不是决定因素:)
Scott

是的,您不知道客户是否会遇到问题:)但实际上,这种不正常的情况让我感到奇怪。
joojaa

1
如果稍后要进行文件传递协商,我还更改了设计中的字体,为客户提供了选择-留下字体并产生额外的$ x费用以支持当前设计,或者为我支付$ x的费用来将字体更改为“免费”客户已经拥有的“”或“ Typekit”字体(我也有)。
斯科特,

11

这不是法律建议,因此请不要这样看。您可能实际上想阅读GDPR。但不要只用谷歌搜索它,直接进入源代码:

  1. 什么是欧盟委员会不得不说一下GDPR
  2. 实际的调节是产品相关图片

现在,GDPR并没有透露有关发布源文件的任何内容。相反,它的范围是相当合理的。它的基本含义是:

  • 个人数据很重要
  • 您需要有理由存储个人数据
  • 您需要记录存储什么数据,为什么存储,为什么存储,为什么存储和存储多长时间。为您的客户提供尽可能简单的文档。
  • 与个人数据有关的人有权要求查看数据。可以通过多种方式完成此操作,但是并没有指定您需要以存储它的确切形式给出它。
  • 个人有权更正个人数据
  • 个人有权要求删除个人数据
  • 它还告诉您,您不能使用不受限制的数据
    • 所以你不能只把它交给第三方
  • 您必须保护此类数据免受第三方和滥用。

它还解决了有关如何收集同意等问题。

因此,您的客户可以请求查看您存储的数据以及您拥有的数据保留策略(例如,出于付款目的)。不必是inDesign文件,您可以(例如)仅从文本中复制相关部分并将其发送给客户端(例如且仅当它是客户端数据开始时)。

但是我不是律师,我几乎不知道欧洲律师将如何解释相对模糊的定义。

PS:如果您认为GDPR确实是严格和繁重的。是的,这只是合法行为的一种征兆。当您本来应该做的事情被写入法律时,所有合理的行为都会丢失,因为法律是一种非常钝的工具,适用于范围内的每个人,无论是否合理。


1

GDPR是一个复杂的情况,这完全取决于您与客户之间的合同类型。因此,在进入InDesign部分之前,这主要是一个法律问题。

此外,GDPR是公司的一项重大法律问题,涉及多个成本,GDPR不会强迫您作为第三方提供商来免费提供文件。

从理论上讲,他们可以采取措施保护第三方的专有工作,但实际上,您可以为移交文件定价。

但是,如果您以员工的身份工作,那么您可能会玩得不亦乐乎,并且需要提供一切并从您的个人计算机中删除所有东西。

另请参阅以下问题:长期客户想要工作文件


这是我的三年左右的失误。我有平均数量的数据。我可能会猜测其中大多数与数据保护无关,因为没有客户详细信息。我会让他们知道我已经删除了客户信息,因为这比收集所有要输出的内容和发送所有内容更快。感谢您的建议和意见。
Whiteleaf

@Whiteleaf:请注意,您可以保留客户数据用于记录目的。实际上,出于税收原因,您可能必须保留此数据。由于这是一项法律义务,因此您无需同意,也无需履行删除请求。当然,您确实需要尊重查询和更正数据的权利。
MSalters

0

我不了解GDPR与您的文件有什么关系。

如果您正在处理客户提供的个人数据,则删除那些文件和其他包含数据的文件(例如工作文件),并向客户发出声明。

这样可以保护客户,以防万一。他们可以显示数据已被破坏。

为他们提供文件是完全不同的事情,需要付费。在合同中描述或以全新的方式陈述只是为了处理文件。

这两件事没有相互联系。即使在GDPR中,“良好做法”指南也指出应销毁数据文件,而不是将其返回给提供者。


1
谢谢你 老实说,我没想到这种要求,因为它似乎也没有与我联系。我可能会那样做。我将删除个人数据并发送电子邮件说我已经这样做了。
Whiteleaf

@Whiteleaf您可能无法删除客户的所有个人数据,因为这将违反税法!
约瑟夫说,请恢复莫妮卡

再税法:如果出于此目的或其他类似目的需要保留客户的个人数据,则可以提及第6.1(f)条“出于控制人追求的合法利益的目的而进行处理是必要的”。GDPR不需要在所有情况下都同意。
紧缩

@Josef仅当您的客户是私人用户时才提供个人数据。如果是公司,则没有个人数据。GDPR还指出,对于票据或交易所描述的需求,您不需要要求处理权。
SZCZERZOKŁY18年

0

根据GDPR,您必须删除个人数据。它没有说明您的业务文件或产品。不要放弃那些。您没有义务提供这些文件。

您仅需提供所收集数据的概述,这可以是描述您在何处拥有哪些数据的文本文件。还要求您更新或删除数据。

另外,不要忘记税法。根据大多数税法,如果您收到用于审计目的的资金,则必须将数据保留X年。删除此信息实际上可能是非法的/在进行审核时会造成很多麻烦。

您需要做的是审核您在哪里拥有客户的哪些个人信息(您应该已经拥有)

在您制作的文档中发送个人数据的屏幕截图。将您在哪里拥有哪些数据的摘要发送出去。列出您不能合法删除的数据(打印的发票,银行帐户摘要等),但告诉他/她,当审计期限届满时什么时候将其删除。您可以在审核软件中对其进行匿名处理,并记下实际信息在打印的存档文档中以供审核。

同时记录删除请求。将其存储在文件夹中的某个位置,通知私有实体这也是存储其详细信息的位置,以便您可以掩盖自己的屁股。

请记住,您可以匿名化数据,而不是直接删除它。因此,将电子邮件更改为nobody@example.com以保持会计软件的稳定性等)。


具体来说,在匿名电子邮件中,找不到任何人的记录,因此它很可能是实际的电子邮件域。请使用nobody@example.com,因为example.com是保留域(发送​​到example.com的电子邮件永远都不会发送给他人)
Delioth
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.