Solicitação de arquivo de trabalho devido ao Regulamento Geral de Proteção de Dados (GDPR)


13

Recebi uma solicitação para fornecer ao cliente todos os seus arquivos (incluindo os documentos do InDesign) devido ao Regulamento Geral de Proteção de Dados (GDPR). Meu cliente também quer que eu exclua os arquivos da minha máquina. Realmente não me sinto confortável fazendo isso, pois o tempo envolvido também seria perdido, pois eles não vão querer pagar.

Como devo responder a essa solicitação?



11
Depende da natureza do trabalho que você armazenou. O GDPR se aplica apenas a dados pessoais.
Westside

1
@ WELZ Sim, é isso que estou dizendo. Se for rótulos de latas de sopa, não estará no escopo do RGPD. O OP não diz de qualquer maneira, por isso precisamos de mais informações para ajudar. Meu entendimento é que precisariam ser dados relativos a indivíduos, não empresas, para que o GDPR se candidatasse. Se não for esse o caso, então o cliente pode estar tentando.
Westside

5
Concordo com @Scott dizendo que seu cliente parece incompleto. Parece-me que você teria sido notificado antes de fazer o trabalho se tivesse que tomar um cuidado extra com os dados e o cliente deveria ter exigido que você assinasse algum tipo de contrato indicando o que você pode ou não fazer com os dados. Caso contrário, talvez o seu cliente tenha estragado muito a manipulação de dados e agora esteja se esforçando para corrigir o erro deles, o que realmente é problema deles, e não o seu.
curioso

1
Consulte também o Artigo 6.1 (b) "o processamento é necessário para a execução de um contrato" e 6.1 (f) "o processamento é necessário para fins de interesses legítimos do controlador" - a retirada do consentimento do cliente por dados pessoais pode ser irrelevante (ignorando o fato de que a solicitação em si é questionável nesse caso).
crunch

Respostas:


26

TL: DR O cliente está fundamentalmente errado sobre o tipo de dados cobertos pelo GDPR, embora haja possivelmente coisas nos arquivos cobertos por ele. Você não deve enviar os arquivos para eles, embora precise responder com qualquer informação pessoal neles.

Estou fazendo parte do trabalho de proteção de dados da minha empresa, por isso tenho lido bastante sobre isso. Definitivamente, não sou advogado, portanto, um monte disso deve ser tomado com uma pitada de sal. Dito isto, este exemplo tem um curso de ação correto bastante claro:

  • O GDPR cobre apenas informações pessoais relacionadas a indivíduos https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Isso significa que a única coisa afetada em seu projeto pelo GDPR são as informações pessoais

  • Sua resposta deve, portanto, cobrir apenas as informações pessoais contidas em seu design. Você colocou um endereço de e-mail pessoal no deles? Existe um nome ou endereço de cliente no texto? alguma foto de clientes ou pessoas em geral? Em caso afirmativo, envie a eles um e-mail informando as informações pessoais encontradas no design e perguntando se elas desejam que você exclua esses bits específicos

  • Se eles responderem sim, exclua os endereços de e-mail / quaisquer nomes / fotos de clientes e outras informações pessoais que você puder encontrar.

  • Lembre-se de excluí-lo também de todos os backups que você possui e do histórico do arquivo. Se você estiver se sentindo amigável, convém salientar que isso tornará os arquivos mais difíceis de usar para eles

  • Eles absolutamente não podem forçá-lo a entregar a propriedade dos arquivos no GDPR. A menos que declarado no contrato, eles permanecem sua propriedade intelectual.

Edit: esqueceu um pouco importante. Isso se aplica apenas aos dados pessoais da pessoa que faz a solicitação. Qualquer outra coisa, mesmo os dados de um de seus funcionários, não é coberta e você provavelmente não pode e não deve entregar nenhum dos dados. Seus funcionários terão que fazer seus próprios pedidos de dados pessoais. Para se proteger, no entanto, provavelmente vale a pena revisar e excluir todas as informações pessoais desnecessárias que você possui.

Espero que seja útil!


5
Eu acho que o primeiro ponto seria mais completo se ele dissesse "O GDPR cobre apenas informações pessoais relacionadas a indivíduos vivos que não são mantidas para fins domésticos". As informações de seus amigos em seu telefone, que você mantém para seus propósitos e não para os de sua empresa, não são cobertas.
Andrew Leach

15

Realmente não importa POR QUE o cliente quer que você exclua seus arquivos e envie tudo a eles.

Parece-me que o cliente está usando o GDPR como desculpa e nada mais. Quero dizer, praticamente qualquer design é material promocional e todas as informações pessoais possíveis - nome, endereço, contato, email etc. - foram tornadas informações públicas por meio das próprias promoções. Não são "dados pessoais armazenados". Seu cliente está sendo muito superficial aqui, na minha opinião.

Cobrar pela entrega do arquivo. Depois de receber o pagamento, envie os arquivos e uma carta explicando todos os arquivos serão removidos de suas máquinas e backups e você não reterá mais nenhum arquivo relacionado ao cliente, uma vez que você tenha sido notificado de que eles receberam os arquivos. Em seguida, entre e remova tudo depois de receber a confirmação do recebimento (já que eles pagaram por isso).

Lembre-se, mesmo que eles paguem , você não poderá enviar fontes ou imagens que você comprou e usou. Aqueles são geralmente licenciado para você e compartilhar esses itens iria colocá -lo em violação de qualquer contrato de licença relacionados a eles. O cliente precisará comprar todas as fontes e imagens necessárias para dar suporte aos projetos.

É problema do cliente, se mais tarde precisar de algo alterado ou criado. Você só precisa ter certeza de que é pago pelos arquivos.

Se o cliente não quiser pagar por nada ... não forneça os arquivos, não exclua nada . Eles são seus arquivos . Nenhuma parte externa pode forçá-lo a fazer qualquer coisa com os ativos da sua empresa (além da aplicação da lei).

Se o cliente começar a waffling e se tornar beligerante e exigir arquivos, apenas recuse educadamente, a menos que o pagamento seja recebido.

Na pior das hipóteses, você perde esse cliente (o que você fará de qualquer maneira pelo som das coisas), e o cliente sente que precisa dar uma olhada no assunto e entrar com uma ação judicial ou algo assim. O processo, na minha opinião, tem uma baixa probabilidade. No entanto, eles podem usar isso como uma tática para intimidar você a fazer o que eles querem. Embora eu não seja advogado , duvido que eles ganhem um processo forçando você a remover seus ativos de negócios.

Em suma, minha postura seria:

Estou feliz em. O preço de todos os arquivos é de $ X. Depois que o pagamento for recebido, encaminharemos tudo o que tenho e, em seguida, removerei tudo dos meus sistemas assim que souber que você o recebeu.

Cliente:

Não estamos pagando

Eu:

Então me desculpe. Não entregarei arquivos nem excluirei nada sem pagamento.

Cliente:

Nós vamos processar!

Eu:

OK. Você é livre para fazer o que acha necessário. O preço dos ativos da minha empresa relacionados ao trabalho que concluí para [nome da empresa] é de $ x. Estou muito feliz em atender sua solicitação assim que o pagamento for recebido. Obrigado.


Trabalhei em projetos altamente secretos onde os dados da empresa eram particulares e pretendiam permanecer privados em um pequeno grupo. Isso sempre foi apresentado a mim como dados altamente sensíveis que "não devem ser compartilhados com ninguém". Não estou falando de nenhum acordo de não divulgação, de dados mais gerais que eu tinha conhecimento para concluir um projeto (principalmente financeiro da empresa). Os clientes desses projetos sempre apresentaram esse assunto de antemão no início dos projetos. Então, eu estava ciente da confidencialidade. Mas, mesmo lidando com empresas de vários milhões de dólares dessa maneira, eles nunca pediram para eu remover e excluir meus arquivos, eles apenas pedem que eu mantenha a privacidade dos arquivos.

Se esses clientes me pedissem para remover coisas e enviar a eles todos os arquivos, eu certamente entenderia a solicitação . Mas certamente também os cobraria pela entrega de arquivos.

Se eles quisessem que eu excluísse arquivos sem entregá-los, provavelmente negociaria um acordo ... como em ... removo os dados privados das peças, mas mantenho o design intacto para uso como amostras de portfólio. Dando a eles a aprovação dos desenhos alterados para que pudessem verificar se as informações privadas haviam sido removidas.


Trabalho por contratação : se você estiver sob um contrato de trabalho por aluguel ou um "funcionário", eles realmente terão tudo. Atenda à solicitação deles sem pagamento ou emissão. Os arquivos não são seus.


Isso significa que se tem um incentivo perverso para usar fontes e plugins muito caros;) Apenas dizendo.
Joojaa

Na verdade, @Joojaa - para mim, isso significa que não me importo. Eu compro e uso fontes que acho que funcionam bem, se elas custam US $ 5 ou US $ 500, não importa. Eu não planeja fornecer meus arquivos de projeto após o fato para que a carga cliente nunca é um fator decisivo:)
Scott

concordou sim, você não sabe se o cliente será problemático ou não :) Mas, na verdade, esse tipo de situação perversa me faz pensar.
Joojaa

1
Também mudei as fontes em um design se uma negociação para a entrega de arquivos chegar mais tarde, dando às opções do cliente - deixe as fontes e incorra em uma taxa adicional de $ x para apoiar o design atual ou pague $ x para que eu altere as fontes para "grátis" fontes "ou" Typekit "que o cliente já possui (e eu também tenho).
23318 Scott

11

Este não é um conselho legal, portanto não o tome como tal. Você pode realmente querer ler no GDPR. Mas não basta pesquisar no Google para ir diretamente à fonte:

  1. O que a comissão europeia tem a dizer sobre o RGPD
  2. O regulamento atual também está disponível

Agora, o GDPR não diz nada sobre a liberação de arquivos de origem. Em vez disso, é bastante razoável em escopo. O que basicamente diz é:

  • Dados pessoais são importantes
  • Você precisa ter um motivo para armazenar dados pessoais
  • Você precisa documentar quais dados você armazena, por que, com que finalidade e por quanto tempo. Tão simples quanto possível, com o documento disponível para seus clientes.
  • A pessoa a quem os dados pessoais pertencem tem o direito de solicitar a revisão dos dados. Isso pode ser feito de várias maneiras, mas não especifica que significa que você precisa fornecer na forma exata em que o armazenou.
  • A pessoa tem o direito de fazer correções nos dados pessoais
  • A pessoa tem o direito de solicitar a exclusão dos dados pessoais
  • Também informa que você não pode usar os dados sem restrições
    • Então você não pode simplesmente dar a terceiros
  • Você deve proteger esses dados de terceiros e uso indevido.

Ele também aborda algumas coisas sobre como obter consentimento e assim por diante.

Assim, seu cliente pode solicitar a revisão dos dados armazenados e a política de retenção de dados que você possui (para fins de pagamento, por exemplo). Esse não precisa ser o arquivo do inDesign. Você pode copiar as partes relevantes do texto, por exemplo, e enviá-lo ao cliente, por exemplo, se e somente se forem os dados do cliente.

Mas não sou advogado, não sei quase nada sobre como as definições relativamente vagas seriam interpretadas por um advogado europeu.

PS: Se você acha que o GDPR é realmente rigoroso e pesado. Sim, é apenas um sintoma de ter que legalizar seu comportamento razoável. Quando algo que você deveria ter feito de qualquer maneira é inscrito em uma lei, todo tipo de comportamento razoável se perde, uma vez que a lei é um instrumento muito contundente que se aplica a todos no escopo, razoável ou não.


1

O GDPR é uma situação complicada e tudo depende do tipo de contrato que você tem com seu cliente. Portanto, esse é principalmente um problema legal antes de chegar à parte do InDesign.

Além disso, o GDPR é uma questão legal importante para as empresas e envolve vários custos e o GDPR não o força, como fornecedor terceirizado, a doar os arquivos gratuitamente.

Em teoria, eles podem tomar medidas para proteger o trabalho proprietário realizado por terceiros, mas, na prática, você pode, por outro lado, definir um preço para a entrega dos arquivos.

No entanto, se você trabalhou como empregado, provavelmente não terá muito com o que brincar e precisará fornecer tudo e remover tudo do seu computador pessoal.

Veja também esta pergunta: Cliente de longo prazo deseja arquivos de trabalho


Esta é uma das minhas por cerca de 3 anos. Eu tenho uma quantidade média de dados. A maioria dos quais eu provavelmente acho que não tem nada a ver com proteção de dados, pois não há detalhes dos clientes. Vou informá-los que excluí as informações dos clientes, pois isso será uma solução mais rápida do que coletar tudo para a saída e enviar tudo. Obrigado pelo conselho e opinião.
Whiteleaf

@Whiteleaf: observe que você pode manter os dados do cliente para fins de manutenção de registros. De fato, você provavelmente deve manter esses dados, por razões fiscais. Como essa é uma obrigação legal, você não precisa de consentimento e não precisa atender à solicitação de exclusão. Você precisa respeitar os direitos de consulta e correção de dados, é claro.
MSalters

0

Não entendo o que o GDPR tem a ver com seus arquivos.

Se você estiver trabalhando nos Dados Pessoais fornecidos pelo seu cliente, exclua os arquivos e outros que contenham os dados (por exemplo, arquivos de trabalho) e emita uma declaração ao cliente que você o fez.

Isso protege o cliente no caso de surgir algo; eles podem mostrar que os dados foram destruídos.

O fornecimento de arquivos para eles é uma coisa totalmente diferente e requer uma taxa. Descrito em contrato ou declarado em um completamente novo apenas para manipular os arquivos.

Essas duas coisas não estão ligadas uma à outra. Mesmo no GDPR, os guias de "boas práticas" afirmam que os arquivos de dados devem ser destruídos, e não devolvidos ao provedor.


1
Obrigado por isso. Para ser sincero, eu não esperava esse tipo de solicitação, pois também não parecia estar vinculado a mim. Eu posso apenas fazer isso. Excluirei os dados pessoais e enviarei um e-mail dizendo que o fiz.
Whiteleaf

@Whiteleaf Você provavelmente não pode excluir todos os dados pessoais do cliente porque violaria as leis tributárias!
Josef diz Restabelecer Monica

Re legislação tributária: se você precisar manter os dados pessoais do cliente para esse ou outros propósitos semelhantes, poderá fazer alusão ao artigo 6.1 (f) "o processamento é necessário para fins dos interesses legítimos perseguidos pelo responsável pelo tratamento". O GDPR NÃO exige consentimento em todos os casos.
crunch

@Josef Dados pessoais somente se o seu cliente for uma pessoa particular. Se for empresa, não há dados pessoais. O GDPR também declara que, para as necessidades descritas em faturas ou negócios, você não precisa solicitar o direito de processamento.
SZCZERZO KŁY

0

Sob o GDPR, você deve remover os dados pessoais. Não diz nada sobre seus arquivos comerciais ou seus produtos. Não entregue isso. Você não é obrigado a fornecer esses arquivos.

Você é obrigado apenas a fornecer uma visão geral dos dados coletados; este pode ser um arquivo de texto que descreve quais dados você possui onde. Você também é obrigado quando solicitado a atualizar os dados ou removê-los.

Além disso, não se esqueça das leis tributárias. De acordo com a maioria das leis tributárias, você deve manter os dados por X anos se tiver recebido dinheiro para fins de auditoria. A exclusão dessas informações pode ser ilegal / causar muitos problemas quando uma auditoria acontece.

O que você precisará fazer é auditar quais informações pessoais você possui do cliente onde (quais você já deveria ter)

Envie capturas de tela de dados pessoais nos documentos que você criou. Envie um resumo de quais dados você tem para onde. Faça uma lista de dados que você não pode excluir legalmente (faturas impressas, trechos de contas bancárias, etc ...), mas informe quando será excluído quando o prazo da auditoria expirar. Você pode animá-lo no software de auditoria, anote que as informações reais estão nos documentos arquivados impressos para auditoria.

Documente também a solicitação de remoção. Armazene-o impresso em uma pasta em algum lugar, notifique a entidade privada de que também é um local onde seus detalhes serão armazenados, apenas para que você possa cobrir sua bunda.

Lembre-se de que você pode anonimizar os dados em vez de excluí-los imediatamente. Portanto, altere os e-mails para nobody@example.com para preservar a estabilidade do software de contabilidade etc ...)


No email anonimizado especificamente, não consigo encontrar nenhum registro de nobody.com; portanto, pode muito bem ser um domínio de email real. Use nobody@example.com, como example.com é um domínio reservado (e-mails enviados para qualquer lugar example.com nunca vai fazer isso para uma pessoa)
Delioth
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.