Richiesta di file di lavoro a causa del regolamento generale sulla protezione dei dati (GDPR)

13

Ho ricevuto una richiesta per fornire a un cliente tutti i suoi file (compresi i documenti InDesign) a causa del Regolamento generale sulla protezione dei dati (GDPR). Il mio cliente vuole anche che elimini i file dalla mia macchina. Non mi sento davvero a mio agio nel fare questo perché anche il tempo in questione andrebbe perso perché non vorrebbero pagare.

Come devo rispondere a tale richiesta?

client-relations  business  legal 
Whiteleaf
fonte
1
Luciano,
11
Dipende dalla natura del lavoro che hai archiviato. Il GDPR si applica solo ai dati personali.
Westside,
1
@WELZ Sì, è quello che sto dicendo. Se si tratta di etichette per lattine di zuppa, allora non rientra nell'ambito di applicazione del GDPR. L'OP non dice in entrambi i modi, quindi abbiamo bisogno di maggiori informazioni per aiutare. La mia comprensione è che dovrebbero essere dati relativi a individui, non aziende, per applicare il GDPR. In caso contrario, il suo cliente potrebbe semplicemente provarlo.
Westside,
5
Sono d'accordo con @Scott dicendo che il tuo cliente sembra impreciso. Mi sembra che saresti stato informato PRIMA di fare il lavoro se avessi dovuto prestare particolare attenzione ai dati e il cliente avrebbe dovuto richiederti di firmare un qualche tipo di contratto indicando cosa puoi e non puoi fare con i dati. Altrimenti forse il tuo client ha fatto un casino con la gestione dei dati e ora si sta rimescolando per correggere il loro errore, che in realtà è il loro problema da risolvere, non il tuo.
curioso
1
Fare riferimento anche all'articolo 6.1 (b) "il trattamento è necessario per l'esecuzione di un contratto" e 6.1 (f) "il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento" - la revoca del consenso del cliente per i dati personali può essere irrilevante (ignorando il fatto che la richiesta stessa è discutibile in questo caso).
scricchiolio

Risposte:

26

TL: DR Il client ha fondamentalmente torto sul tipo di dati coperti dal GDPR, sebbene probabilmente ci siano cose nei file che sono coperti da esso. Non dovresti inviare loro i file, anche se devi rispondere con qualsiasi informazione personale in essi contenuta.

Sto facendo un po 'del lavoro di protezione dei dati per la mia azienda, quindi ho letto molto su questo. Non sono assolutamente un avvocato, quindi un sacco di questo dovrebbe essere preso con un pizzico di sale. Detto questo, questo esempio ha una linea di condotta corretta abbastanza chiara:

  • Il GDPR copre solo le informazioni personali relative alle persone https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Ciò significa che l'unica cosa interessata dal GDPR nella tua progettazione sono le informazioni personali

  • Pertanto, la tua risposta dovrebbe riguardare solo le informazioni personali contenute nel tuo progetto. Hai inserito un indirizzo email personale nel loro? C'è un nome o indirizzo del cliente nel testo? qualche foto di clienti o persone in generale? In tal caso, invia loro un'e-mail in cui dichiari le informazioni personali che hai trovato nel progetto e chiedi se vorrebbero che tu eliminassi quei bit specifici

  • Se dicono di sì, elimina gli indirizzi e-mail / eventuali nomi / foto dei clienti qualsiasi altra informazione personale che puoi trovare.

  • Ricorda di eliminarlo anche da tutti i backup che hai e dalla cronologia del file. Se ti senti amichevole, potresti voler sottolineare che questo renderà i file più difficili da usare per loro

  • Non possono assolutamente costringerti a consegnare la proprietà dei file ai sensi del GDPR. Se non indicato nel contratto, rimangono di proprietà intellettuale.

Modifica: dimenticato un pezzetto importante. Questo vale solo per i dati personali della persona che effettua la richiesta. Qualcos'altro, anche i dati di uno dei loro dipendenti, non sono coperti e probabilmente non è possibile e non si dovrebbe consegnare nessuno dei dati. I loro dipendenti dovranno fare le proprie richieste per i loro dati personali. Per proteggerti, tuttavia, probabilmente vale la pena rivedere ed eliminare qualsiasi informazione personale non necessaria in tuo possesso.

Spero sia utile!

lupe
fonte
5
Penso che il primo punto elenco sarebbe più completo se si leggesse "Il GDPR copre solo le informazioni personali relative a persone viventi che non sono detenute per scopi domestici". Le informazioni dei tuoi amici nel telefono, che detengono per i tuoi scopi piuttosto che per quelle della tua attività, non sono coperte.
Andrew Leach,
15

Non importa perché il client vuole che tu elimini i tuoi file e invii loro tutto.

Mi sembra che il cliente stia usando il GDPR come una scusa e niente di più. Voglio dire, praticamente ogni design è materiale promozionale e ogni possibile informazione personale - nome, indirizzo, contatto, e-mail, ecc. - è stata resa pubblica attraverso le promozioni stesse. Non sono "dati personali memorizzati". Secondo me, il tuo cliente è terribilmente abbozzato qui.

Addebito per la consegna del file. Dopo aver ricevuto il pagamento, invia i file e una lettera che spiega tutti i file verrà rimossa dalle tue macchine e dai tuoi backup e non manterrai più alcun file relativo al client, una volta che avrai ricevuto la notifica della ricezione dei file. Quindi entra e rimuovi tutto dopo aver ricevuto la conferma di ricezione (poiché hanno pagato per questo).

Ricorda, anche se ti pagano , non puoi inviare loro alcun tipo di carattere o immagini stock acquistate e utilizzate. Coloro che sono generalmente concessi in licenza a voi e la condivisione di tali elementi avrebbe messo voi in violazione di un accordo di licenza ad essi connessi. Il cliente dovrà recarsi e acquistare tutti i caratteri e le immagini necessari per supportare i progetti.

È il problema del cliente se in seguito hanno bisogno di qualcosa di alterato o creato. Devi semplicemente essere certo di essere pagato per i file.

Se il cliente non vuole pagare nulla ... non dare loro i file, non cancellare nulla . Sono i tuoi file . Nessuna parte esterna può costringerti a fare qualsiasi cosa con i tuoi beni aziendali (tranne le forze dell'ordine).

Se il cliente inizia a fare il waffling e diventa belligerante e richiede file, semplicemente rifiuta educatamente a meno che non venga ricevuto il pagamento.

Peggio ancora, perdi questo cliente (cosa che farai comunque dal suono delle cose), e il cliente sente di aver bisogno di fare uno spettacolo della questione e presentare una causa o qualcosa del genere. Il seme, secondo me, ha una bassa probabilità. Tuttavia, possono usarlo come tattica per opprimerti nel fare ciò che vogliono. Anche se non sono un avvocato , dubito che vincerebbero una causa costringendoti a rimuovere i tuoi beni aziendali.

In breve, la mia posizione sarebbe:

Sono felice di. Il prezzo per tutti i file è $ X. Una volta ricevuto il pagamento, inoltrerò tutto ciò che ho e successivamente lo rimuoverò dai miei sistemi una volta che avrò ricevuto la ricevuta.

Cliente:

Non stiamo pagando

Me:

Quindi mi dispiace. Non invierò file né eliminerò nulla, senza pagamento.

Cliente:

Faremo causa!

Me:

Va bene. Sei libero di fare ciò che ritieni necessario. Il prezzo delle risorse aziendali in relazione al lavoro che ho completato per [nome azienda] è $ x. Sono molto felice di soddisfare la tua richiesta una volta ricevuto il pagamento. Grazie.

Ho lavorato a progetti altamente segreti in cui i dati aziendali erano privati ​​e intendevano rimanere privati ​​all'interno di un piccolo gruppo. Questo mi è stato sempre presentato come un dato altamente sensibile che "non deve essere condiviso con nessuno". Non sto parlando di alcun accordo di non divulgazione, di dati più generali a cui ho avuto conoscenza al fine di completare un progetto (principalmente dati finanziari dell'azienda). I clienti per questi progetti sempre presentati questa questione davanti alla partenza dei progetti. Quindi, ero a conoscenza della riservatezza. Ma anche trattando con aziende multimilionarie in questo modo, non mi hanno mai chiesto di rimuovere ed eliminare i miei file, mi chiedono semplicemente di mantenere la privacy dei file.

Se questi client dovessero chiedermi di rimuovere le cose e inviarle tutti i file, certamente comprenderei la richiesta . Ma li farei anche pagare per la consegna dei file.

Se volessero solo che eliminassi i file senza consegnarli, probabilmente negozerei un accordo ... come in ... rimuovo i dati privati ​​dai pezzi ma mantengo intatto il design per usarlo come campioni di portfolio. Dando loro l'approvazione dei progetti modificati in modo che potessero verificare che le informazioni private fossero state rimosse.

Lavoro per assunzione : se hai un contratto di assunzione per lavoro o un "dipendente", allora possiedono effettivamente tutto. Rispettare la loro richiesta senza pagamento o problema. I file non sono tuoi.

Scott
fonte
Questo significa che si ha un incentivo perverso a usare font e plugin molto costosi;) Sto solo dicendo.
joojaa,
In realtà @Joojaa - per me significa che non mi interessa. Compro e utilizzo caratteri che penso funzionino bene, se costano $ 5 o $ 500 non importa. Non ho mai intenzione di fornire i miei file di progettazione dopo il fatto, quindi l'onere del cliente non è mai un fattore decisivo:)
Scott
sì, d'accordo, non sai se il cliente sarà problematico o no :) Ma davvero il suo tipo di situazione perversa mi fa solo meravigliare.
joojaa,
1
Ho anche cambiato i caratteri in un disegno se una trattativa per la consegna dei file è arrivata in seguito, dando opzioni al cliente: lascia i caratteri e incorri in una commissione aggiuntiva di $ x per supportare il disegno attuale o paga $ x per me per modificare i caratteri in "gratuito Caratteri "o" Typekit "già presenti nel client (e anch'io).
Scott,
11

Questa non è una consulenza legale, quindi non prenderla come tale. In realtà potresti voler leggere su GDPR. Ma non basta google perché vai direttamente alla fonte:

  1. Cosa dice la commissione europea sul GDPR
  2. Il regolamento attuale è anche disponibile

Ora GDPR non dice nulla sul rilascio di file sorgente. Invece è abbastanza ragionevole nell'ambito. Ciò che dice sostanzialmente è:

  • I dati personali sono importanti
  • Devi avere un motivo per archiviare i dati personali
  • È necessario documentare quali dati vengono archiviati, perché, per quale scopo e per quanto tempo. Il più semplicemente possibile, con il documento disponibile per i tuoi clienti.
  • La persona cui si riferiscono i dati personali ha il diritto di chiedere la revisione dei dati. Questo può essere fatto in molti modi, ma non specifica che significa che è necessario fornirlo nella forma esatta in cui è stato memorizzato.
  • La persona ha il diritto di apportare correzioni ai dati personali
  • La persona ha il diritto di chiedere la cancellazione dei dati personali
  • Ti dice anche che non puoi usare i dati senza restrizioni
    • Quindi non puoi semplicemente darlo a terzi
  • È necessario proteggere tali dati da terzi e usi impropri.

Affronta anche alcune cose su come raccogliere il consenso e così via.

Pertanto, il cliente può richiedere di rivedere i dati archiviati e la politica di conservazione dei dati in uso (ad esempio a fini di pagamento). Questo non deve essere il file inDesign, ad esempio è possibile copiare le parti pertinenti dal testo e inviarlo al client, ad esempio, se e solo se sono i dati dei client a cominciare.

Ma non sono un avvocato, non so quasi nulla di come le definizioni relativamente vaghe sarebbero interpretate da un avvocato europeo.

PS: Se pensi che il GDPR sia davvero severo e pesante. Sì, è solo un sintomo di dover legittimare un comportamento ragionevole. Quando qualcosa che avresti dovuto fare, comunque, viene scritto in una legge, tutti i tipi di comportamento ragionevole vengono persi poiché una legge è uno strumento molto schietto che si applica a tutti gli scopi, ragionevoli o meno.

joojaa
fonte
1

Il GDPR è una situazione complicata e tutto dipende dal tipo di contratto che hai con il tuo cliente. Quindi questo è principalmente un problema legale prima di arrivare alla parte InDesign.

Inoltre, il GDPR è un grave problema legale per le aziende e comporta costi multipli e il GDPR non ti obbliga come fornitore di terze parti a distribuire i file gratuitamente.

In teoria possono agire per proteggere il lavoro proprietario svolto da terzi, ma in pratica è possibile stabilire un prezzo per la consegna dei file.

Tuttavia, se hai svolto il lavoro come dipendente, probabilmente non avrai molto con cui giocare e dovrai fornire tutto e rimuovere tutto dal tuo personal computer.

Vedi anche questa domanda: un client a lungo termine vuole file di lavoro

Lucian
fonte
Questa è una mia scia per circa 3 anni. Ho una quantità media di dati. La maggior parte dei quali probabilmente immagino non abbia nulla a che fare con la protezione dei dati, poiché non ci sono dettagli sui clienti. Farò sapere loro che ho cancellato e informazioni sui client in quanto sarà una soluzione più rapida rispetto alla raccolta di tutto per l'output e all'invio di tutto. Grazie per il consiglio e l'opinione.
Whiteleaf,
@Whiteleaf: tieni presente che puoi conservare i dati dei clienti per scopi di conservazione dei dati. In effetti, probabilmente è necessario conservare questi dati, per motivi fiscali. Poiché si tratta di un obbligo legale, non è necessario il consenso e non è necessario rispettare la richiesta di eliminazione. È necessario onorare i diritti di interrogare e correggere i dati, ovviamente.
MSalters,
0

Non capisco cosa abbia a che fare il GDPR con i tuoi file.

Se stai lavorando su Dati personali forniti dal tuo cliente, elimini quei file e altri che contengono i dati (ad es. File di lavoro) e rilascia al cliente una dichiarazione in cui lo hai fatto.

Questo protegge il cliente in caso di problemi; possono mostrare che i dati sono stati distrutti.

Fornire i file per loro è una cosa totalmente diversa e richiede una tassa. O descritto nel contratto o dichiarato in uno completamente nuovo solo per la gestione dei file.

Queste due cose non sono collegate tra loro. Anche nel GDPR, le guide di "buone pratiche" affermano che i file di dati devono essere distrutti, non restituiti al fornitore.

SZCZERZO KŁY
fonte
1
Grazie per questo. Ad essere sincero, non mi aspettavo questo tipo di richiesta in quanto non sembrava essere collegato nemmeno a me. Potrei farlo. Eliminerò i dati personali e invierò un'email per dire che l'ho fatto.
Whiteleaf,
@Whiteleaf Probabilmente non puoi eliminare tutti i dati personali del cliente perché violeresti le leggi fiscali!
Josef dice di reintegrare Monica
In materia di fiscalità: se è necessario conservare i dati personali del cliente per questo o altri scopi simili, è possibile alludere all'articolo 6.1, lettera f) "l'elaborazione è necessaria ai fini degli interessi legittimi perseguiti dal responsabile del trattamento". Il GDPR NON richiede il consenso in tutti i casi.
scricchiolio
@Josef Dati personali solo se il tuo cliente è privato. Se si tratta di società non ci sono dati personali. Inoltre, il GDPR afferma che per le esigenze descritte da fatture o offerte non è necessario richiedere il diritto di elaborazione.
SZCZERZO KŁY,
0

Ai sensi del GDPR è necessario rimuovere i dati personali. Non dice nulla sui tuoi file aziendali o sui tuoi prodotti. Non darli via. Non sei obbligato a fornire quei file.

Sei obbligato solo a fornire una panoramica dei dati raccolti, questo potrebbe essere un file di testo che descrive quali dati hai dove. Sei anche obbligato quando ti viene richiesto di aggiornare i dati o rimuoverli.

Inoltre, non dimenticare le leggi fiscali. In base alla maggior parte delle leggi fiscali, è necessario conservare i dati per X anni se si riceve denaro a fini di revisione. L'eliminazione di queste informazioni potrebbe in realtà essere illegale / comportare molti problemi quando si verifica un controllo.

Quello che dovrete fare è controllare quali informazioni personali avete del cliente dove (che dovreste già avere)

Invia schermate di dati personali nei documenti che hai creato. Invia un riepilogo di quali dati hai dove. Crea un elenco di dati che non puoi eliminare legalmente (fatture stampate, estratti di conti bancari, ecc ...) ma comunicagli quando verranno cancellati alla scadenza del termine di revisione. Puoi anonimizzarlo nel software di controllo, annotare che le informazioni reali si trovano sui documenti archiviati stampati per il controllo.

Documentare anche la richiesta di rimozione. Conservalo stampato in una cartella da qualche parte, informa l'entità privata che è anche un punto in cui verranno archiviati i suoi dettagli, solo così puoi coprirti il ​​culo.

Ricorda che puoi anonimizzare i dati invece di eliminarli direttamente. Quindi cambiando le e-mail in nobody@example.com in modo da preservare la stabilità del software di contabilità ecc ...)

Tschallacka
fonte
In particolare sull'e-mail anonima, non riesco a trovare alcuna registrazione di nobody.com, quindi potrebbe benissimo essere un vero dominio e-mail. Usa nobody@example.com, poiché example.com è un dominio riservato (le e-mail inviate ovunque example.com non raggiungeranno mai una persona)
Delioth
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.