Yêu cầu tệp làm việc do Quy định bảo vệ dữ liệu chung (GDPR)


13

Tôi đã có yêu cầu cung cấp cho khách hàng tất cả các tệp của họ (bao gồm cả tài liệu InDesign) do Quy định bảo vệ dữ liệu chung (GDPR). Khách hàng của tôi cũng muốn tôi xóa các tập tin khỏi máy của tôi. Tôi thực sự không thoải mái khi làm điều này vì thời gian liên quan cũng sẽ bị mất vì họ sẽ không muốn trả tiền.

Làm thế nào tôi nên đáp ứng với một yêu cầu như vậy?



11
Phụ thuộc vào tính chất công việc mà bạn đã lưu trữ. GDPR chỉ áp dụng cho dữ liệu cá nhân.
Westside

1
@WELZ Vâng, đó là những gì tôi đang nói. Nếu đó là nhãn cho hộp súp thì nó không nằm trong phạm vi GDPR. OP không nói cách nào vì vậy chúng tôi cần thêm thông tin để trợ giúp. Hiểu biết của tôi là nó sẽ cần phải là dữ liệu liên quan đến các cá nhân, không phải các công ty, để áp dụng GDPR. Nếu đó không phải là trường hợp thì khách hàng của anh ta có thể đang thử nó.
Westside

5
Tôi đồng ý với @Scott nói rằng khách hàng của bạn có vẻ sơ sài. Dường như với tôi, bạn sẽ được thông báo TRƯỚC KHI thực hiện công việc nếu bạn phải chăm sóc thêm với dữ liệu và khách hàng sẽ yêu cầu bạn ký một số loại hợp đồng nêu rõ những gì bạn có thể và không thể làm với dữ liệu. Nếu không, có thể khách hàng của bạn đã gặp rắc rối với việc xử lý dữ liệu và hiện đang tranh giành để sửa lỗi của họ, thực sự, đó là vấn đề của họ cần khắc phục, không phải của bạn.
tò mò

1
Cũng tham khảo Điều 6.1 (b) "xử lý là cần thiết để thực hiện hợp đồng" và 6.1 (f) "xử lý là cần thiết cho các mục đích lợi ích hợp pháp mà người kiểm soát theo đuổi" - việc rút lại sự đồng ý của khách hàng đối với dữ liệu cá nhân có thể không liên quan (bỏ qua thực tế rằng bản thân yêu cầu là nghi vấn trong trường hợp này).
crunch

Câu trả lời:


26

TL: DR Khách hàng về cơ bản bị nhầm lẫn về loại dữ liệu được bảo hiểm theo GDPR, mặc dù có thể có những thứ trong các tệp được bảo vệ theo nó. Bạn không nên gửi cho họ các tập tin, mặc dù bạn cần phải phản hồi với bất kỳ thông tin cá nhân nào trong đó.

Tôi đang làm một số công việc bảo vệ dữ liệu cho công ty của mình, vì vậy tôi đã đọc rất nhiều về vấn đề này. Tôi chắc chắn không phải là một luật sư, vì vậy một loạt điều này nên được thực hiện với một nhúm muối. Điều đó nói rằng, ví dụ này có một quá trình hành động chính xác khá rõ ràng:

  • GDPR chỉ bao gồm thông tin cá nhân liên quan đến cá nhân https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-g miếng_en

  • Điều này có nghĩa là điều duy nhất bị ảnh hưởng trong thiết kế của bạn bởi GDPR là thông tin cá nhân

  • Do đó, phản hồi của bạn chỉ nên bao gồm thông tin cá nhân có trong thiết kế của bạn. Bạn đã đặt một địa chỉ email cá nhân trong số họ? Có một tên khách hàng hoặc địa chỉ trong văn bản? bất kỳ hình ảnh của khách hàng hoặc người dân nói chung? Nếu vậy, hãy gửi cho họ một email cho biết thông tin cá nhân bạn tìm thấy trong thiết kế và hỏi xem họ có muốn bạn xóa các bit cụ thể đó không

  • Nếu họ nói có, hãy xóa địa chỉ email / bất kỳ tên / ảnh khách hàng bất kỳ thông tin cá nhân nào khác mà bạn có thể tìm thấy.

  • Hãy nhớ xóa nó khỏi mọi bản sao lưu bạn có và từ lịch sử của tệp. Nếu bạn cảm thấy thân thiện, bạn có thể muốn chỉ ra điều này sẽ khiến các tệp khó sử dụng hơn đối với họ

  • Họ hoàn toàn không thể buộc bạn giao quyền sở hữu các tệp theo GDPR. Trừ khi được nêu trong hợp đồng, họ vẫn là tài sản trí tuệ của bạn.

Chỉnh sửa: quên một bit quan trọng. Điều này chỉ áp dụng cho dữ liệu cá nhân của người đưa ra yêu cầu. Bất cứ điều gì khác, ngay cả dữ liệu từ một trong các nhân viên của họ, đều không được bảo vệ và bạn có thể không nên và không nên trao bất kỳ dữ liệu nào. Nhân viên của họ sẽ phải đưa ra yêu cầu riêng cho dữ liệu cá nhân của họ. Tuy nhiên, để bảo vệ bản thân, có lẽ bạn nên xem xét và xóa mọi thông tin cá nhân không cần thiết mà bạn nắm giữ.

Hy vọng nó hữu ích!


5
Tôi nghĩ rằng gạch đầu dòng sẽ hoàn thiện hơn nếu nó ghi "GDPR chỉ bao gồm thông tin cá nhân liên quan đến các cá nhân sống không được giữ cho mục đích gia đình". Thông tin của bạn bè trong điện thoại của bạn, mà bạn giữ cho mục đích của bạn chứ không phải doanh nghiệp của bạn, sẽ không được bảo vệ.
Andrew Leach

15

Không thực sự quan trọng TẠI SAO khách hàng muốn bạn xóa các tệp của bạn và gửi cho họ mọi thứ.

Dường như với tôi, khách hàng đang sử dụng GDPR như một cái cớ và không có gì hơn thế. Ý tôi là, thực tế bất kỳ thiết kế nào cũng là tài liệu quảng cáo và bất kỳ thông tin cá nhân nào có thể - tên, địa chỉ, liên hệ, email, v.v. - đã được công khai thông tin thông qua các chương trình khuyến mãi. Đó không phải là "dữ liệu lưu trữ cá nhân". Theo tôi, khách hàng của bạn đang rất sơ sài ở đây.

Phí giao hàng. Sau khi bạn nhận được thanh toán, hãy gửi các tệp và thư giải thích tất cả các tệp sẽ bị xóa khỏi máy và bản sao lưu của bạn và bạn sẽ không còn giữ bất kỳ tệp nào liên quan đến máy khách nữa, khi bạn đã được thông báo rằng họ đã nhận được các tệp. Sau đó đi vào và thực sự loại bỏ mọi thứ sau khi bạn nhận được xác nhận đã nhận (vì họ đã trả tiền cho việc này).

Hãy nhớ rằng, ngay cả khi họ trả tiền cho bạn , bạn không thể gửi cho họ bất kỳ phông chữ hoặc hình ảnh nào bạn đã mua và sử dụng. Những thứ đó thường được cấp phép cho bạn và chia sẻ những mục đó sẽ khiến bạn vi phạm bất kỳ thỏa thuận cấp phép nào liên quan đến chúng. Khách hàng sẽ cần phải đi và mua bất kỳ phông chữ và hình ảnh cần thiết để hỗ trợ các thiết kế.

Đó là vấn đề của khách hàng nếu sau này họ cần một cái gì đó được thay đổi hoặc tạo ra. Bạn chỉ cần chắc chắn rằng bạn được trả tiền cho các tập tin.

Nếu khách hàng không muốn trả tiền cho bất cứ điều gì ... đừng đưa cho họ các tệp, đừng xóa bất cứ thứ gì . Chúng là tập tin của bạn . Không bên ngoài nào có thể buộc bạn làm bất cứ điều gì với tài sản kinh doanh của bạn (ngoài thực thi pháp luật).

Nếu khách hàng bắt đầu vặn vẹo và trở nên hiếu chiến và yêu cầu các tệp, chỉ cần từ chối một cách lịch sự trừ khi nhận được thanh toán.

Trường hợp xấu hơn, bạn mất khách hàng này (điều mà bạn sẽ làm dù sao từ âm thanh của sự việc) và khách hàng cảm thấy họ cần phải làm một số cảnh tượng của vấn đề và nộp đơn kiện hoặc một cái gì đó. Vụ kiện, theo tôi, có xác suất thấp. Tuy nhiên, họ có thể sử dụng nó như một chiến thuật để bắt nạt bạn làm những gì họ muốn. Mặc dù tôi không phải là luật sư , tôi nghi ngờ họ sẽ thắng kiện buộc bạn phải xóa tài sản kinh doanh của bạn.

Nói tóm lại, lập trường của tôi sẽ là:

Tôi đang vui. Giá cho tất cả các tệp là $ X. Sau khi nhận được thanh toán, tôi sẽ chuyển tiếp mọi thứ tôi có và sau đó xóa tất cả khỏi hệ thống của tôi sau khi tôi biết bạn đã nhận được.

Khách hàng:

Chúng tôi không trả tiền

Tôi:

Sau đó, tôi xin lỗi. Tôi sẽ không cung cấp tệp, hoặc xóa bất cứ thứ gì, mà không cần thanh toán.

Khách hàng:

Chúng tôi sẽ kiện!

Tôi:

Được chứ. Bạn được tự do làm những gì bạn cảm thấy cần thiết. Giá cho tài sản kinh doanh của tôi vì chúng liên quan đến công việc tôi đã hoàn thành cho [tên công ty] là $ x. Tôi rất vui khi làm theo yêu cầu của bạn sau khi nhận được thanh toán. Cảm ơn bạn.


Tôi đã làm việc trong các dự án bí mật cao , nơi dữ liệu của công ty là riêng tư và dự định giữ riêng tư trong một nhóm nhỏ. Dữ liệu này luôn được trình bày cho tôi dưới dạng dữ liệu có độ nhạy cao "không được chia sẻ với bất kỳ ai". Tôi không nói về bất kỳ thỏa thuận không tiết lộ nào, dữ liệu chung hơn mà tôi có quyền riêng tư để hoàn thành một dự án (chủ yếu là tài chính công ty). Các khách hàng cho các dự án này luôn trình bày vấn đề này trước khi bắt đầu dự án. Vì vậy, tôi đã nhận thức được tính bảo mật. Nhưng ngay cả khi giao dịch với các công ty hàng triệu đô la theo cách này, họ chưa bao giờ yêu cầu tôi xóa và xóa các tệp của mình, họ chỉ yêu cầu tôi duy trì sự riêng tư của các tệp.

Nếu những khách hàng này yêu cầu tôi xóa mọi thứ và gửi cho họ tất cả các tập tin, tôi chắc chắn sẽ hiểu yêu cầu . Nhưng tôi cũng chắc chắn tính phí cho việc cung cấp các tập tin.

Nếu họ chỉ muốn tôi xóa các tệp mà không cung cấp chúng, có lẽ tôi sẽ thương lượng giải quyết ... như trong ... Tôi xóa dữ liệu riêng tư khỏi các mảnh nhưng giữ thiết kế trong chiến lược để sử dụng làm mẫu danh mục đầu tư. Cho phép họ phê duyệt các thiết kế đã thay đổi để họ có thể xác minh thông tin cá nhân đã bị xóa.


Làm việc cho thuê : nếu bạn theo thỏa thuận thuê làm việc hoặc "nhân viên", thì họ thực sự sở hữu mọi thứ. Tuân thủ yêu cầu của họ mà không cần thanh toán hoặc vấn đề. Các tập tin không phải của bạn.


Điều này có nghĩa là người ta có động cơ đồi trụy khi sử dụng các phông chữ và plugin rất đắt tiền;) Chỉ cần nói.
joojaa

Thật ra @Joojaa - đối với tôi điều đó có nghĩa là tôi không quan tâm. Tôi mua và sử dụng phông chữ Tôi nghĩ rằng nó hoạt động tốt, nếu chúng có giá $ 5 hoặc $ 500 thì không vấn đề gì. Tôi không bao giờ có kế hoạch cung cấp các tệp thiết kế của mình sau khi thực tế vì vậy gánh nặng của khách hàng không bao giờ là yếu tố quyết định:)
Scott

vâng đồng ý, bạn không biết liệu khách hàng có phải là một vấn đề hay không :) Nhưng thực sự đó là một tình huống đồi trụy chỉ khiến tôi tự hỏi.
joojaa

1
Tôi cũng đã thay đổi phông chữ trong một thiết kế nếu một cuộc đàm phán để phân phối tệp đến sau, đưa ra các tùy chọn cho khách hàng - để lại các phông chữ và chịu thêm phí $ x để hỗ trợ thiết kế hiện tại hoặc trả $ x cho tôi để thay đổi phông chữ thành "miễn phí "hoặc phông chữ" Typekit "khách hàng đã có (và tôi cũng có).
Scott

11

Đây không phải là lời khuyên pháp lý vì vậy đừng coi đó là như vậy. Bạn thực sự có thể muốn đọc về GDPR. Nhưng không chỉ google cho nó đi trực tiếp vào nguồn:

  1. Những gì mà Ủy ban châu Âu có thể nói về GDPR
  2. Các quy định thực tế cũng có sẵn

Bây giờ GDPR không nói gì về việc phát hành tệp nguồn. Thay vào đó là khá hợp lý trong phạm vi. Những gì nó nói về cơ bản là:

  • Dữ liệu cá nhân rất quan trọng
  • Bạn cần có một lý do để lưu trữ dữ liệu cá nhân
  • Bạn cần ghi lại những dữ liệu bạn lưu trữ, tại sao, cho mục đích gì và trong bao lâu. Đơn giản nhất có thể, với các tài liệu có sẵn cho khách hàng của bạn.
  • Người mà dữ liệu cá nhân liên quan có quyền yêu cầu xem lại dữ liệu. Điều này có thể được thực hiện theo nhiều cách, nhưng nó không chỉ định điều đó có nghĩa là bạn cần cung cấp nó ở dạng chính xác mà bạn đã lưu trữ.
  • Người có quyền sửa dữ liệu cá nhân
  • Người có quyền yêu cầu xóa dữ liệu cá nhân
  • Nó cũng cho bạn biết rằng bạn không thể sử dụng dữ liệu không bị hạn chế
    • Vì vậy, bạn không thể chỉ đưa nó cho bên thứ ba
  • Bạn phải bảo vệ dữ liệu đó từ bên thứ ba và sử dụng sai.

Nó cũng giải quyết một vài điều về cách thu thập sự đồng ý và như vậy.

Vì vậy, khách hàng của bạn có thể yêu cầu xem lại dữ liệu bạn đã lưu trữ và chính sách lưu giữ dữ liệu mà bạn có (ví dụ như cho mục đích thanh toán). Đây không phải là tệp inDesign, bạn có thể sao chép các phần có liên quan từ văn bản chẳng hạn và gửi nó cho khách hàng chẳng hạn, nếu và chỉ khi đó là dữ liệu khách hàng bắt đầu.

Nhưng tôi không phải là một luật sư, tôi không biết gì về cách các định nghĩa tương đối tồi tệ sẽ được giải thích bởi một luật sư châu Âu.

PS: Nếu bạn nghĩ GDPR thực sự nghiêm ngặt và nặng tay. Vâng, nó chỉ là một triệu chứng của việc phải hợp pháp hóa beahaviour hợp lý. Khi một cái gì đó bạn nên làm dù sao cũng được viết thành luật, tất cả các loại hành vi hợp lý đều bị mất vì luật là một công cụ rất cùn áp dụng cho mọi người trong phạm vi, hợp lý hay không.


1

GDPR là một tình huống phức tạp và tất cả phụ thuộc vào loại hợp đồng bạn có với khách hàng của mình. Vì vậy, đây chủ yếu là một vấn đề pháp lý trước khi đến phần InDesign.

Ngoài ra, GDPR là một vấn đề pháp lý lớn đối với các công ty và một vấn đề liên quan đến nhiều chi phí và GDPR không buộc bạn là nhà cung cấp bên thứ ba phải cung cấp miễn phí các tệp.

Về lý thuyết, họ có thể thực hiện hành động để bảo vệ công việc độc quyền được thực hiện bởi các bên thứ ba, nhưng trên thực tế, mặt khác bạn có thể đặt giá cho việc bàn giao các tệp.

Tuy nhiên, nếu bạn làm nhân viên, có lẽ bạn sẽ không có nhiều thứ để chơi và sẽ cần cung cấp mọi thứ và xóa mọi thứ khỏi máy tính cá nhân của bạn.

Cũng xem câu hỏi này: Khách hàng dài hạn muốn các tệp làm việc


Đây là một slient của tôi trong khoảng 3 năm. Tôi đã có một lượng dữ liệu trung bình. Hầu hết trong số đó có lẽ tôi đoán không liên quan gì đến Bảo vệ dữ liệu, vì không có chi tiết khách hàng. Tôi sẽ cho họ biết rằng tôi đã xóa và thông tin về khách hàng vì đó sẽ là cách khắc phục nhanh hơn so với việc thu thập mọi thứ cho đầu ra và gửi mọi thứ qua. Cảm ơn lời khuyên và ý kiến.
Whiteleaf

@Whiteleaf: Lưu ý rằng bạn có thể giữ dữ liệu khách hàng cho mục đích lưu giữ hồ sơ. Trong thực tế, bạn có thể phải giữ dữ liệu này, vì lý do thuế. Vì đây là nghĩa vụ pháp lý, bạn không cần sự đồng ý và không cần tôn trọng yêu cầu xóa. Tất nhiên, bạn cần tôn trọng quyền truy vấn và sửa dữ liệu.
MSalters

0

Tôi không hiểu GDPR phải làm gì với các tệp của bạn.

Nếu bạn đang làm việc trên Dữ liệu cá nhân mà khách hàng của bạn cung cấp, thì bạn sẽ xóa các tệp đó và các tệp khác có chứa dữ liệu (ví dụ: tệp công việc) và đưa ra tuyên bố cho khách hàng rằng bạn đã làm như vậy.

Điều này bảo vệ khách hàng trong trường hợp có bất kỳ điều gì phát sinh; họ có thể hiển thị dữ liệu đã bị phá hủy.

Cung cấp các tập tin cho họ là một điều hoàn toàn khác và đòi hỏi một khoản phí. Hoặc được mô tả trong hợp đồng hoặc được nêu trong một bản hoàn toàn mới chỉ để xử lý các tệp.

Hai điều đó không được kết nối với nhau. Ngay cả trong GDPR, "thông lệ tốt" hướng dẫn rằng các tệp dữ liệu nên bị hủy, không được trả lại cho nhà cung cấp.


1
Cảm ơn vì điều đó. Thành thật mà nói tôi đã không mong đợi loại yêu cầu này vì nó dường như cũng không được liên kết với tôi. Tôi chỉ có thể làm điều đó. Tôi sẽ xóa dữ liệu cá nhân và gửi email để nói rằng tôi đã làm như vậy.
Whiteleaf

@Whiteleaf Có lẽ bạn không thể xóa tất cả dữ liệu cá nhân của khách hàng vì bạn sẽ vi phạm luật thuế!
Josef nói Phục hồi lại

Luật thuế lại: nếu bạn cần giữ dữ liệu cá nhân của khách hàng cho mục đích này hoặc các mục đích tương tự khác, bạn có thể ám chỉ Điều 6.1 (f) "việc xử lý là cần thiết cho các mục đích lợi ích hợp pháp mà người kiểm soát theo đuổi". GDPR doe KHÔNG yêu cầu sự đồng ý trong mọi trường hợp.
crunch

@Josef Dữ liệu cá nhân chỉ khi khách hàng của bạn là người riêng tư. Nếu đó là công ty thì không có dữ liệu cá nhân. GDPR cũng nêu rõ rằng đối với các nhu cầu được mô tả bằng các hóa đơn hoặc giao dịch, bạn không cần phải yêu cầu quyền xử lý.
SZCZERZO KŁY

0

Theo GDPR, bạn phải xóa dữ liệu cá nhân. Nó không nói gì về các tập tin kinh doanh hoặc sản phẩm của bạn. Đừng cho những người đi. Bạn không bắt buộc phải cung cấp những tập tin đó.

Bạn chỉ bắt buộc phải cung cấp tổng quan về dữ liệu được thu thập, đây có thể là tệp văn bản mô tả dữ liệu bạn có ở đâu. Bạn cũng có nghĩa vụ khi được yêu cầu cập nhật dữ liệu hoặc xóa dữ liệu.

Ngoài ra, đừng quên luật thuế. Theo hầu hết các luật thuế, bạn bắt buộc phải giữ dữ liệu trong X năm nếu bạn nhận được tiền cho mục đích kiểm toán. Xóa thông tin này thực sự có thể là bất hợp pháp / đánh vần rất nhiều rắc rối khi kiểm toán xảy ra.

Những gì bạn sẽ phải làm là kiểm tra thông tin cá nhân nào bạn có của khách hàng ở đâu (mà bạn đã có)

Gửi ảnh chụp màn hình dữ liệu cá nhân trong các tài liệu bạn đã thực hiện. Gửi một bản tóm tắt về dữ liệu bạn có ở đâu. Lập danh sách dữ liệu bạn không thể xóa một cách hợp pháp (hóa đơn được in, trích đoạn tài khoản ngân hàng, v.v ...) nhưng hãy nói cho anh ấy / cô ấy biết khi nào nó sẽ bị xóa khi hết thời hạn kiểm toán. Bạn có thể đánh giá nó trong phần mềm kiểm toán, lưu ý rằng thông tin thực sự có trên các tài liệu lưu trữ được in để kiểm toán.

Cũng ghi lại yêu cầu loại bỏ. Lưu trữ nó được in trong một thư mục ở đâu đó, thông báo cho thực thể tư nhân rằng đó cũng là nơi lưu trữ thông tin chi tiết của anh ấy, để bạn có thể che mông của mình.

Hãy nhớ rằng bạn có thể ẩn danh dữ liệu thay vì xóa thẳng nó. Vì vậy, thay đổi email thành none@example.com để duy trì sự ổn định của phần mềm kế toán, v.v ...)


Trên email ẩn danh cụ thể, tôi không thể tìm thấy bất kỳ bản ghi nào của none.com, vì vậy đây rất có thể là một miền email thực sự. Sử dụng none@example.com, vì example.com là một miền dành riêng (email được gửi đến bất cứ nơi nào example.com sẽ không bao giờ gửi cho một người)
Delioth
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.