Żądanie pliku roboczego z powodu ogólnego rozporządzenia o ochronie danych (RODO)

Z powodu ogólnego rozporządzenia o ochronie danych (RODO) otrzymałem prośbę o dostarczenie klientowi wszystkich jego plików (w tym dokumentów programu InDesign). Mój klient chce również, żebym usunął pliki z mojego komputera. Naprawdę nie czuję się komfortowo, ponieważ poświęcony czas również zostałby stracony, ponieważ nie będą chcieli płacić.

Jak mam odpowiedzieć na takie żądanie?

TL: DR Klient zasadniczo się myli co do rodzaju danych objętych RODO, chociaż w plikach, które są nim objęte, mogą znajdować się rzeczy. Nie powinieneś wysyłać im plików, chociaż musisz odpowiedzieć w nich zawartymi w nich danymi osobowymi.

Zajmuję się ochroną danych w mojej firmie, więc dużo o tym czytałem. Zdecydowanie nie jestem prawnikiem, więc garść tego należy wziąć ze szczyptą soli. To powiedziawszy, ten przykład ma dość wyraźny prawidłowy sposób działania:

• RODO obejmuje wyłącznie dane osobowe dotyczące osób fizycznych https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

• Oznacza to, że jedyną rzeczą, na którą wpływa twój projekt przez RODO, są dane osobowe

• Twoja odpowiedź powinna zatem obejmować wyłącznie dane osobowe zawarte w twoim projekcie. Czy podałeś swój osobisty adres e-mail? Czy w tekście jest nazwa lub adres klienta? jakieś zdjęcia klientów lub ogólnie ludzi? Jeśli tak, wyślij im wiadomość e-mail z danymi osobowymi znalezionymi w projekcie i z pytaniem, czy chcą, abyś usunął te konkretne fragmenty

• Jeśli powiedzą tak, usuń adresy e-mail / wszelkie nazwiska / zdjęcia klientów i wszelkie inne dane osobowe, które możesz znaleźć.

• Pamiętaj, aby usunąć go również z wszelkich posiadanych kopii zapasowych oraz z historii pliku. Jeśli czujesz się przyjazny, możesz wskazać, że utrudni to korzystanie z plików

• Absolutnie nie mogą zmusić Cię do przekazania własności plików na mocy RODO. O ile nie jest to określone w umowie, pozostają twoją własnością intelektualną.

Edycja: zapomniałem trochę ważnego. Dotyczy to tylko danych osobowych osoby składającej wniosek. Cokolwiek innego, nawet dane jednego z ich pracowników, nie jest objęte gwarancją i prawdopodobnie nie możesz i nie powinieneś przekazywać żadnych danych. Pracownicy będą musieli składać własne wnioski o dane osobowe. Aby się zabezpieczyć, warto jednak przejrzeć i usunąć wszelkie niepotrzebne dane osobowe, które posiadasz.

Mam nadzieję, że to jest pomocne!

Tak naprawdę nie ma znaczenia DLACZEGO klient chce, abyś usunął swoje pliki i wysłał im wszystko.

Wydaje mi się, że klient używa RODO jako wymówki i nic więcej. Mam na myśli, że praktycznie każdy projekt jest materiałem promocyjnym, a wszelkie możliwe dane osobowe - imię i nazwisko, adres, kontakt, e-mail itp. - zostały podane do wiadomości publicznej za pośrednictwem samych promocji. To nie są „osobiste przechowywane dane”. Moim zdaniem twój klient jest tutaj wyjątkowo szkicowy.

Opłata za dostarczenie pliku. Po otrzymaniu płatności wyślij pliki, a list wyjaśniający, że wszystkie pliki zostaną usunięte z twoich komputerów i kopii zapasowych, i nie będziesz już przechowywać żadnych plików związanych z klientem, gdy otrzymasz powiadomienie o otrzymaniu plików. Następnie wejdź i faktycznie usuń wszystko po otrzymaniu potwierdzenia odbioru (ponieważ zapłacili za to).

Pamiętaj, że nawet jeśli ci płacą , nie możesz wysłać im czcionek ani zdjęć, które kupiłeś i wykorzystałeś. To są ogólnie licencję na ciebie i dzielenia tych pozycji byłoby umieścić cię z naruszeniem umowy licencyjnej związanej z nimi. Klient będzie musiał udać się i zakupić niezbędne czcionki i obrazy do obsługi projektów.

Jest to problemem klienta , jeśli później trzeba coś zmienione lub utworzone. Musisz tylko mieć pewność, że zapłacisz za pliki.

Jeśli klient nie chce za nic płacić ... nie dawaj mu plików, nie usuwaj niczego . To są twoje pliki . Żadna strona zewnętrzna nie może zmusić cię do zrobienia czegokolwiek z aktywami firmy (poza organami ścigania).

Jeśli klient zacznie się wahać i stanie się wojujący i żąda plików, grzecznie odmów, chyba że otrzyma płatność.

W gorszym scenariuszu tracisz tego klienta (co i tak zrobisz z dźwięku rzeczy), a klient czuje, że musi zrobić jakiś spektakl w tej sprawie i złożyć pozew lub coś w tym rodzaju. Moim zdaniem garnitur ma małe prawdopodobieństwo. Mogą jednak to wykorzystać jako taktykę zastraszania cię do robienia tego, co chcą. Chociaż nie jestem prawnikiem , wątpię, by wygrał sprawę, zmuszając cię do usunięcia aktywów firmy.

Krótko mówiąc, moja postawa byłaby następująca:

Cieszę się. Cena za wszystkie pliki wynosi X USD. Po otrzymaniu płatności prześlę wszystko, co mam, a następnie usunę wszystko z moich systemów, gdy tylko będę wiedział, że je otrzymałeś.

Klient:

Nie płacimy

Mnie:

Więc przepraszam. Nie dostarczę plików ani niczego nie usunę bez zapłaty.

Klient:

Pozwiemy!

Mnie:

W porządku. Możesz robić to, co uważasz za konieczne. Cena za moje aktywa biznesowe związane z pracą, którą wykonałem dla [nazwa firmy] wynosi x USD. Bardzo się cieszę, że mogę spełnić Twoje żądanie po otrzymaniu płatności. Dziękuję Ci.

Pracowałem nad ściśle tajnymi projektami, w których dane firmy były prywatne i miały pozostać prywatne w małej grupie. To było zawsze przedstawił mi się jako bardzo ważne dane, które są „nie może być dzielona z nikim”. Nie mówię o żadnej umowie o zachowaniu poufności, bardziej ogólnych danych, które miałem wglądu w celu realizacji projektu (głównie finansów firmy). Klienci tych projektów zawsze przedstawiali tę sprawę z góry na początku projektów. Byłem więc świadomy poufności. Ale nawet mając do czynienia z wielomilionowymi firmami w ten sposób, nigdy nie poprosiły o usunięcie i usunięcie moich plików, po prostu proszą o zachowanie ich poufności.

Gdyby ci klienci poprosili mnie o usunięcie rzeczy i przesłanie im wszystkich plików, z pewnością zrozumiałbym tę prośbę . Ale z pewnością naliczę również opłaty za dostarczanie plików.

Gdyby chcieli tylko, żebym usunął pliki bez ich dostarczenia, prawdopodobnie wynegocjowałbym ugodę ... jak w ... Usuwam prywatne dane z kawałków, ale zachowuję projekt tak, aby można było użyć ich jako próbek portfela. Udzielając im zatwierdzenia zmienionych wzorów, aby mogli zweryfikować, że prywatne informacje zostały usunięte.

Praca najemna : jeśli masz umowę o pracę najemną lub „pracownik”, to tak naprawdę jest właścicielem wszystkiego. Zastosuj się do ich żądania bez płatności lub wydania. Pliki nie są twoje.

To nie jest porada prawna, więc nie bierz jej za taką. Być może warto przeczytać RODO. Ale nie po prostu google, przejdź bezpośrednio do źródła:

1. Co Komisja Europejska ma do powiedzenia na temat RODO
2. Dostępne jest również aktualne rozporządzenie

Teraz RODO nie mówi nic o udostępnianiu plików źródłowych. Zamiast tego ma dość rozsądny zakres. W zasadzie mówi:

• Dane osobowe są ważne
• Musisz mieć powód do przechowywania danych osobowych
• Musisz udokumentować, jakie dane przechowujesz, dlaczego, w jakim celu i na jak długo. Tak prosto, jak to możliwe, z dokumentem dostępnym dla klientów.
• Osoba, której dotyczą dane osobowe, ma prawo poprosić o ich sprawdzenie. Można to zrobić na wiele sposobów, ale nie określa to, że musisz podać go w dokładnie takiej formie, w jakiej został zapisany.
• Osoba ma prawo do poprawiania danych osobowych
• Osoba ma prawo poprosić o usunięcie danych osobowych
• Mówi także, że nie można korzystać z danych bez ograniczeń
  • Nie możesz więc przekazywać go osobom trzecim
• Musisz chronić takie dane przed osobami trzecimi i niewłaściwie je wykorzystywać.

Zajmuje się także kilkoma kwestiami dotyczącymi sposobu uzyskiwania zgody i tak dalej.

Dzięki temu klient może poprosić o przejrzenie przechowywanych danych i posiadanych zasad przechowywania danych (na przykład w celu płatności). Nie musi to być plik inDesign, na przykład możesz skopiować odpowiednie części z tekstu i przesłać go do klienta, jeśli tylko na początku są to dane klientów.

Ale nie jestem prawnikiem, prawie nic nie wiem o tym, jak stosunkowo niejasne definicje interpretowałby europejski prawnik.

PS: Jeśli uważasz, że RODO jest naprawdę surowe i trudne. Tak, jest to tylko objaw konieczności uzasadnionego zachowania. Kiedy coś, co i tak powinieneś robić, zostaje zapisane w prawie, gubią się wszelkiego rodzaju rozsądne zachowania, ponieważ prawo jest bardzo tępym instrumentem, który dotyczy każdego w zakresie, rozsądnym lub nie.

RODO jest skomplikowaną sytuacją i wszystko zależy od rodzaju umowy zawartej z klientem. Jest to więc głównie kwestia prawna przed przejściem do części InDesign.

Ponadto RODO jest poważnym problemem prawnym dla firm i wiąże się z wieloma kosztami, a RODO nie zmusza Cię jako zewnętrznego dostawcy do bezpłatnego udostępniania plików.

Teoretycznie mogą podejmować działania w celu ochrony pracy chronionej wykonanej przez strony trzecie, ale w praktyce możesz z drugiej strony ustalić cenę za przekazanie plików.

Jeśli jednak pracowałeś jako pracownik, prawdopodobnie nie będziesz miał wiele do zabawy i będziesz musiał dostarczyć wszystko i usunąć wszystko z komputera osobistego.

Zobacz także to pytanie: Klient długoterminowy chce mieć działające pliki

Nie rozumiem, co RODO ma wspólnego z twoimi plikami.

Jeśli pracujesz nad danymi osobowymi podanymi przez klienta, usuwasz te pliki i inne, które zawierają dane (np. Pliki robocze), i wydajesz klientowi oświadczenie, że to zrobiłeś.

To chroni klienta na wypadek, gdyby coś się pojawiło; mogą pokazać, że dane zostały zniszczone.

Dostarczanie plików jest dla nich czymś zupełnie innym i wymaga opłaty. Albo opisany w umowie, albo podany w zupełnie nowej wersji tylko do obsługi plików.

Te dwie rzeczy nie są ze sobą powiązane. Nawet w RODO przewodniki „dobrych praktyk” stwierdzają, że pliki danych powinny zostać zniszczone, a nie zwrócone dostawcy.

Zgodnie z RODO musisz usunąć dane osobowe. Nie mówi nic o plikach biznesowych ani produktach. Nie rozdawaj ich. Nie jesteś zobowiązany do przekazywania tych plików.

Jesteś zobowiązany jedynie przedstawić przegląd zebranych danych, może to być plik tekstowy opisujący, które dane posiadasz. Jesteś również zobowiązany, gdy zostaniesz poproszony o aktualizację lub usunięcie danych.

Nie zapomnij też o przepisach podatkowych. Zgodnie z większością przepisów podatkowych musisz przechowywać dane przez X lat, jeśli otrzymałeś pieniądze do celów kontrolnych. Usunięcie tych informacji może być w rzeczywistości nielegalne / może oznaczać wiele kłopotów podczas audytu.

Co musisz zrobić, to sprawdzić, jakie dane osobowe klienta masz (gdzie już powinieneś mieć)

Wysyłaj zrzuty ekranu danych osobowych w utworzonych dokumentach. Wyślij podsumowanie, które dane masz gdzie. Zrób listę danych, których nie możesz zgodnie z prawem usunąć (wydrukowane faktury, wyciągi z konta bankowego itp.), Ale powiedz mu, kiedy zostaną usunięte po upływie terminu kontroli. Możesz dokonać anonimizacji w oprogramowaniu do kontroli, zanotować, że prawdziwe informacje znajdują się na wydrukowanych zarchiwizowanych dokumentach do kontroli.

Udokumentuj również żądanie usunięcia. Zapisz go gdzieś w folderze, powiadom podmiot prywatny, że jest to również miejsce, w którym będą przechowywane jego dane, abyś mógł zakryć swoją dupę.

Pamiętaj, że możesz anonimizować dane zamiast je usuwać. Więc zmiana adresu e-mail na nobody@example.com, aby zachować stabilność oprogramowania księgowego itp.)