Żądanie pliku roboczego z powodu ogólnego rozporządzenia o ochronie danych (RODO)


13

Z powodu ogólnego rozporządzenia o ochronie danych (RODO) otrzymałem prośbę o dostarczenie klientowi wszystkich jego plików (w tym dokumentów programu InDesign). Mój klient chce również, żebym usunął pliki z mojego komputera. Naprawdę nie czuję się komfortowo, ponieważ poświęcony czas również zostałby stracony, ponieważ nie będą chcieli płacić.

Jak mam odpowiedzieć na takie żądanie?



11
Zależy od charakteru przechowywanej pracy. RODO dotyczy wyłącznie danych osobowych.
Westside

1
@WELZ Tak, właśnie to mówię. Jeśli to etykiety na puszki zupy, to nie wchodzi w zakres RODO. OP nie mówi w żaden sposób, dlatego potrzebujemy więcej informacji, aby pomóc. Rozumiem, że zastosowanie miałyby dane dotyczące osób fizycznych, a nie firm. Jeśli tak nie jest, to jego klient może po prostu przymierzyć.
Westside

5
Zgadzam się z @Scott mówiąc, że twój klient wydaje się szkicowy. Wydaje mi się, że zostałbyś powiadomiony PRZED wykonaniem pracy, gdybyś musiał zachować szczególną ostrożność z danymi, a klient powinien był wymagać od ciebie podpisania jakiejś umowy określającej, co możesz, a czego nie możesz zrobić z danymi. W przeciwnym razie może twój klient źle sobie poradził z obsługą danych i teraz usiłuje naprawić swój błąd, co naprawdę jest ich problemem, a nie twoim.
ciekawy

1
Patrz także art. 6.1 (b) „przetwarzanie jest konieczne do wykonania umowy” i 6.1 (f) „przetwarzanie jest konieczne do celów uzasadnionych interesów realizowanych przez administratora” - wycofanie zgody przez klienta na dane osobowe może być nieistotne (ignorując fakt, że samo żądanie jest w tym przypadku wątpliwe).
kryzys w

Odpowiedzi:


26

TL: DR Klient zasadniczo się myli co do rodzaju danych objętych RODO, chociaż w plikach, które są nim objęte, mogą znajdować się rzeczy. Nie powinieneś wysyłać im plików, chociaż musisz odpowiedzieć w nich zawartymi w nich danymi osobowymi.

Zajmuję się ochroną danych w mojej firmie, więc dużo o tym czytałem. Zdecydowanie nie jestem prawnikiem, więc garść tego należy wziąć ze szczyptą soli. To powiedziawszy, ten przykład ma dość wyraźny prawidłowy sposób działania:

  • RODO obejmuje wyłącznie dane osobowe dotyczące osób fizycznych https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Oznacza to, że jedyną rzeczą, na którą wpływa twój projekt przez RODO, są dane osobowe

  • Twoja odpowiedź powinna zatem obejmować wyłącznie dane osobowe zawarte w twoim projekcie. Czy podałeś swój osobisty adres e-mail? Czy w tekście jest nazwa lub adres klienta? jakieś zdjęcia klientów lub ogólnie ludzi? Jeśli tak, wyślij im wiadomość e-mail z danymi osobowymi znalezionymi w projekcie i z pytaniem, czy chcą, abyś usunął te konkretne fragmenty

  • Jeśli powiedzą tak, usuń adresy e-mail / wszelkie nazwiska / zdjęcia klientów i wszelkie inne dane osobowe, które możesz znaleźć.

  • Pamiętaj, aby usunąć go również z wszelkich posiadanych kopii zapasowych oraz z historii pliku. Jeśli czujesz się przyjazny, możesz wskazać, że utrudni to korzystanie z plików

  • Absolutnie nie mogą zmusić Cię do przekazania własności plików na mocy RODO. O ile nie jest to określone w umowie, pozostają twoją własnością intelektualną.

Edycja: zapomniałem trochę ważnego. Dotyczy to tylko danych osobowych osoby składającej wniosek. Cokolwiek innego, nawet dane jednego z ich pracowników, nie jest objęte gwarancją i prawdopodobnie nie możesz i nie powinieneś przekazywać żadnych danych. Pracownicy będą musieli składać własne wnioski o dane osobowe. Aby się zabezpieczyć, warto jednak przejrzeć i usunąć wszelkie niepotrzebne dane osobowe, które posiadasz.

Mam nadzieję, że to jest pomocne!


5
Myślę, że pierwszy punkt byłby bardziej kompletny, gdyby brzmiał: „RODO obejmuje tylko dane osobowe związane z żywymi osobami, które nie są przechowywane do celów domowych”. Informacje twoich znajomych w telefonie, które przechowujesz raczej do swoich celów niż do firmy, nie są objęte gwarancją.
Andrew Leach

15

Tak naprawdę nie ma znaczenia DLACZEGO klient chce, abyś usunął swoje pliki i wysłał im wszystko.

Wydaje mi się, że klient używa RODO jako wymówki i nic więcej. Mam na myśli, że praktycznie każdy projekt jest materiałem promocyjnym, a wszelkie możliwe dane osobowe - imię i nazwisko, adres, kontakt, e-mail itp. - zostały podane do wiadomości publicznej za pośrednictwem samych promocji. To nie są „osobiste przechowywane dane”. Moim zdaniem twój klient jest tutaj wyjątkowo szkicowy.

Opłata za dostarczenie pliku. Po otrzymaniu płatności wyślij pliki, a list wyjaśniający, że wszystkie pliki zostaną usunięte z twoich komputerów i kopii zapasowych, i nie będziesz już przechowywać żadnych plików związanych z klientem, gdy otrzymasz powiadomienie o otrzymaniu plików. Następnie wejdź i faktycznie usuń wszystko po otrzymaniu potwierdzenia odbioru (ponieważ zapłacili za to).

Pamiętaj, że nawet jeśli ci płacą , nie możesz wysłać im czcionek ani zdjęć, które kupiłeś i wykorzystałeś. To są ogólnie licencję na ciebie i dzielenia tych pozycji byłoby umieścić cię z naruszeniem umowy licencyjnej związanej z nimi. Klient będzie musiał udać się i zakupić niezbędne czcionki i obrazy do obsługi projektów.

Jest to problemem klienta , jeśli później trzeba coś zmienione lub utworzone. Musisz tylko mieć pewność, że zapłacisz za pliki.

Jeśli klient nie chce za nic płacić ... nie dawaj mu plików, nie usuwaj niczego . To są twoje pliki . Żadna strona zewnętrzna nie może zmusić cię do zrobienia czegokolwiek z aktywami firmy (poza organami ścigania).

Jeśli klient zacznie się wahać i stanie się wojujący i żąda plików, grzecznie odmów, chyba że otrzyma płatność.

W gorszym scenariuszu tracisz tego klienta (co i tak zrobisz z dźwięku rzeczy), a klient czuje, że musi zrobić jakiś spektakl w tej sprawie i złożyć pozew lub coś w tym rodzaju. Moim zdaniem garnitur ma małe prawdopodobieństwo. Mogą jednak to wykorzystać jako taktykę zastraszania cię do robienia tego, co chcą. Chociaż nie jestem prawnikiem , wątpię, by wygrał sprawę, zmuszając cię do usunięcia aktywów firmy.

Krótko mówiąc, moja postawa byłaby następująca:

Cieszę się. Cena za wszystkie pliki wynosi X USD. Po otrzymaniu płatności prześlę wszystko, co mam, a następnie usunę wszystko z moich systemów, gdy tylko będę wiedział, że je otrzymałeś.

Klient:

Nie płacimy

Mnie:

Więc przepraszam. Nie dostarczę plików ani niczego nie usunę bez zapłaty.

Klient:

Pozwiemy!

Mnie:

W porządku. Możesz robić to, co uważasz za konieczne. Cena za moje aktywa biznesowe związane z pracą, którą wykonałem dla [nazwa firmy] wynosi x USD. Bardzo się cieszę, że mogę spełnić Twoje żądanie po otrzymaniu płatności. Dziękuję Ci.


Pracowałem nad ściśle tajnymi projektami, w których dane firmy były prywatne i miały pozostać prywatne w małej grupie. To było zawsze przedstawił mi się jako bardzo ważne dane, które są „nie może być dzielona z nikim”. Nie mówię o żadnej umowie o zachowaniu poufności, bardziej ogólnych danych, które miałem wglądu w celu realizacji projektu (głównie finansów firmy). Klienci tych projektów zawsze przedstawiali tę sprawę z góry na początku projektów. Byłem więc świadomy poufności. Ale nawet mając do czynienia z wielomilionowymi firmami w ten sposób, nigdy nie poprosiły o usunięcie i usunięcie moich plików, po prostu proszą o zachowanie ich poufności.

Gdyby ci klienci poprosili mnie o usunięcie rzeczy i przesłanie im wszystkich plików, z pewnością zrozumiałbym tę prośbę . Ale z pewnością naliczę również opłaty za dostarczanie plików.

Gdyby chcieli tylko, żebym usunął pliki bez ich dostarczenia, prawdopodobnie wynegocjowałbym ugodę ... jak w ... Usuwam prywatne dane z kawałków, ale zachowuję projekt tak, aby można było użyć ich jako próbek portfela. Udzielając im zatwierdzenia zmienionych wzorów, aby mogli zweryfikować, że prywatne informacje zostały usunięte.


Praca najemna : jeśli masz umowę o pracę najemną lub „pracownik”, to tak naprawdę jest właścicielem wszystkiego. Zastosuj się do ich żądania bez płatności lub wydania. Pliki nie są twoje.


Czy to oznacza, że ​​ktoś ma przewrotną motywację do używania bardzo drogich czcionek i wtyczek;) Po prostu mówiąc.
joojaa

Właściwie @Joojaa - dla mnie oznacza to, że mnie to nie obchodzi. Kupuję i używam czcionek, które moim zdaniem działają dobrze, jeśli kosztują 5 USD lub 500 USD, nie ma to znaczenia. Nigdy nie planuję dostarczać moich plików projektu po fakcie, więc obciążenie klienta nigdy nie jest decydującym czynnikiem:)
Scott

tak, zgadzam się, nie wiesz, czy klient będzie problematyczny czy nie :) Ale tak naprawdę to moja perwersyjna sytuacja po prostu mnie zastanawia.
joojaa

1
Zmieniłem także czcionki w projekcie, jeśli negocjacje dotyczące dostarczenia pliku nastąpiły później, dając klientowi opcje - zostaw czcionki i ponieść dodatkową opłatę x x za obsługę obecnego projektu lub zapłacić x x za zmianę czcionek na „darmowy” ”lub„ Typekit ”czcionki, które klient już ma (i ja też).
Scott

11

To nie jest porada prawna, więc nie bierz jej za taką. Być może warto przeczytać RODO. Ale nie po prostu google, przejdź bezpośrednio do źródła:

  1. Co Komisja Europejska ma do powiedzenia na temat RODO
  2. Dostępne jest również aktualne rozporządzenie

Teraz RODO nie mówi nic o udostępnianiu plików źródłowych. Zamiast tego ma dość rozsądny zakres. W zasadzie mówi:

  • Dane osobowe są ważne
  • Musisz mieć powód do przechowywania danych osobowych
  • Musisz udokumentować, jakie dane przechowujesz, dlaczego, w jakim celu i na jak długo. Tak prosto, jak to możliwe, z dokumentem dostępnym dla klientów.
  • Osoba, której dotyczą dane osobowe, ma prawo poprosić o ich sprawdzenie. Można to zrobić na wiele sposobów, ale nie określa to, że musisz podać go w dokładnie takiej formie, w jakiej został zapisany.
  • Osoba ma prawo do poprawiania danych osobowych
  • Osoba ma prawo poprosić o usunięcie danych osobowych
  • Mówi także, że nie można korzystać z danych bez ograniczeń
    • Nie możesz więc przekazywać go osobom trzecim
  • Musisz chronić takie dane przed osobami trzecimi i niewłaściwie je wykorzystywać.

Zajmuje się także kilkoma kwestiami dotyczącymi sposobu uzyskiwania zgody i tak dalej.

Dzięki temu klient może poprosić o przejrzenie przechowywanych danych i posiadanych zasad przechowywania danych (na przykład w celu płatności). Nie musi to być plik inDesign, na przykład możesz skopiować odpowiednie części z tekstu i przesłać go do klienta, jeśli tylko na początku są to dane klientów.

Ale nie jestem prawnikiem, prawie nic nie wiem o tym, jak stosunkowo niejasne definicje interpretowałby europejski prawnik.

PS: Jeśli uważasz, że RODO jest naprawdę surowe i trudne. Tak, jest to tylko objaw konieczności uzasadnionego zachowania. Kiedy coś, co i tak powinieneś robić, zostaje zapisane w prawie, gubią się wszelkiego rodzaju rozsądne zachowania, ponieważ prawo jest bardzo tępym instrumentem, który dotyczy każdego w zakresie, rozsądnym lub nie.


1

RODO jest skomplikowaną sytuacją i wszystko zależy od rodzaju umowy zawartej z klientem. Jest to więc głównie kwestia prawna przed przejściem do części InDesign.

Ponadto RODO jest poważnym problemem prawnym dla firm i wiąże się z wieloma kosztami, a RODO nie zmusza Cię jako zewnętrznego dostawcy do bezpłatnego udostępniania plików.

Teoretycznie mogą podejmować działania w celu ochrony pracy chronionej wykonanej przez strony trzecie, ale w praktyce możesz z drugiej strony ustalić cenę za przekazanie plików.

Jeśli jednak pracowałeś jako pracownik, prawdopodobnie nie będziesz miał wiele do zabawy i będziesz musiał dostarczyć wszystko i usunąć wszystko z komputera osobistego.

Zobacz także to pytanie: Klient długoterminowy chce mieć działające pliki


Jest to mój szlam przez około 3 lata. Mam średnią ilość danych. Przypuszczam, że większość z nich prawdopodobnie nie ma nic wspólnego z ochroną danych, ponieważ nie ma danych klientów. Poinformuję ich, że usunąłem informacje o klientach, ponieważ będzie to szybsze rozwiązanie niż zebranie wszystkiego do wydrukowania i przesłanie. Dziękuję za radę i opinię.
Whiteleaf

@ Whiteleaf: Pamiętaj, że możesz przechowywać dane klientów do celów prowadzenia dokumentacji. W rzeczywistości prawdopodobnie musisz przechowywać te dane ze względów podatkowych. Ponieważ jest to obowiązek prawny, nie potrzebujesz zgody i nie musisz honorować prośby o usunięcie. Oczywiście musisz szanować prawa do wyszukiwania i korygowania danych.
MSalters

0

Nie rozumiem, co RODO ma wspólnego z twoimi plikami.

Jeśli pracujesz nad danymi osobowymi podanymi przez klienta, usuwasz te pliki i inne, które zawierają dane (np. Pliki robocze), i wydajesz klientowi oświadczenie, że to zrobiłeś.

To chroni klienta na wypadek, gdyby coś się pojawiło; mogą pokazać, że dane zostały zniszczone.

Dostarczanie plików jest dla nich czymś zupełnie innym i wymaga opłaty. Albo opisany w umowie, albo podany w zupełnie nowej wersji tylko do obsługi plików.

Te dwie rzeczy nie są ze sobą powiązane. Nawet w RODO przewodniki „dobrych praktyk” stwierdzają, że pliki danych powinny zostać zniszczone, a nie zwrócone dostawcy.


1
Dzięki za to. Szczerze mówiąc, nie spodziewałem się tego typu próśb, ponieważ nie wydawało się, aby były one również powiązane ze mną. Mogę to po prostu zrobić. Usunę dane osobowe i wyślę e-mail z informacją, że to zrobiłem.
Whiteleaf

@ Whiteleaf Prawdopodobnie nie możesz usunąć wszystkich danych osobowych klienta, ponieważ naruszyłbyś przepisy podatkowe!
Josef mówi Przywróć Monikę

Przepisy podatkowe: jeśli chcesz zachować dane osobowe klienta w tym lub innym podobnym celu, możesz wskazać na art. 6.1 (f) „przetwarzanie jest konieczne do celów uzasadnionych interesów realizowanych przez administratora”. RODO nie wymaga zgody we wszystkich przypadkach.
chrupnięcie

@Josef Dane osobowe tylko wtedy, gdy klient jest osobą prywatną. Jeśli to firma, nie ma danych osobowych. Również RODO stanowi, że w przypadku potrzeb opisanych w rachunkach lub ofertach nie musisz prosić o prawo do przetwarzania.
SZCZERZO KŁY

0

Zgodnie z RODO musisz usunąć dane osobowe. Nie mówi nic o plikach biznesowych ani produktach. Nie rozdawaj ich. Nie jesteś zobowiązany do przekazywania tych plików.

Jesteś zobowiązany jedynie przedstawić przegląd zebranych danych, może to być plik tekstowy opisujący, które dane posiadasz. Jesteś również zobowiązany, gdy zostaniesz poproszony o aktualizację lub usunięcie danych.

Nie zapomnij też o przepisach podatkowych. Zgodnie z większością przepisów podatkowych musisz przechowywać dane przez X lat, jeśli otrzymałeś pieniądze do celów kontrolnych. Usunięcie tych informacji może być w rzeczywistości nielegalne / może oznaczać wiele kłopotów podczas audytu.

Co musisz zrobić, to sprawdzić, jakie dane osobowe klienta masz (gdzie już powinieneś mieć)

Wysyłaj zrzuty ekranu danych osobowych w utworzonych dokumentach. Wyślij podsumowanie, które dane masz gdzie. Zrób listę danych, których nie możesz zgodnie z prawem usunąć (wydrukowane faktury, wyciągi z konta bankowego itp.), Ale powiedz mu, kiedy zostaną usunięte po upływie terminu kontroli. Możesz dokonać anonimizacji w oprogramowaniu do kontroli, zanotować, że prawdziwe informacje znajdują się na wydrukowanych zarchiwizowanych dokumentach do kontroli.

Udokumentuj również żądanie usunięcia. Zapisz go gdzieś w folderze, powiadom podmiot prywatny, że jest to również miejsce, w którym będą przechowywane jego dane, abyś mógł zakryć swoją dupę.

Pamiętaj, że możesz anonimizować dane zamiast je usuwać. Więc zmiana adresu e-mail na nobody@example.com, aby zachować stabilność oprogramowania księgowego itp.)


Na anonimowym e-mailu nie mogę znaleźć żadnego rekordu witryny nobody.com, więc może to być prawdziwa domena e-mail. Użyj nobody@example.com, ponieważ example.com jest domeną zastrzeżoną (e-maile wysyłane do dowolnego miejsca w example.com nigdy nie trafią do żadnej osoby)
Delioth
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.