Permintaan file kerja karena Peraturan Perlindungan Data Umum (GDPR)

13

Saya telah memiliki permintaan untuk memasok klien dengan semua file mereka (termasuk dokumen InDesign) karena Peraturan Perlindungan Data Umum (GDPR). Klien saya juga ingin saya menghapus file dari mesin saya. Saya benar-benar tidak nyaman melakukan ini karena waktu yang terlibat juga akan hilang karena mereka tidak mau membayar.

Bagaimana saya harus menanggapi permintaan seperti itu?

Daftar putih
sumber
11
Tergantung pada sifat pekerjaan yang telah Anda simpan. GDPR hanya berlaku untuk data pribadi.
Westside
1
@ Welz Ya, itulah yang saya katakan. Jika label untuk kaleng sup maka itu tidak dalam ruang lingkup GDPR. OP tidak mengatakan apa pun sehingga kami membutuhkan lebih banyak info untuk membantu. Pemahaman saya adalah bahwa itu perlu data yang berkaitan dengan individu, bukan perusahaan, agar GDPR dapat berlaku. Jika bukan itu masalahnya maka pelanggannya mungkin akan mencobanya.
Westside
5
Saya setuju dengan @Scott yang mengatakan klien Anda sepertinya tidak lengkap. Menurut saya, Anda akan diberi tahu SEBELUM melakukan pekerjaan jika Anda harus lebih berhati-hati dengan data dan klien harus meminta Anda untuk menandatangani semacam kontrak yang menyatakan apa yang Anda bisa dan tidak bisa lakukan dengan data tersebut. Kalau tidak, mungkin klien Anda kacau dengan penanganan data dan sekarang sedang berjuang untuk memperbaiki kesalahan mereka, yang sebenarnya, masalah mereka untuk diperbaiki, bukan milik Anda.
penasaran
1
Juga merujuk Pasal 6.1 (b) "pemrosesan diperlukan untuk pelaksanaan kontrak" dan 6.1 (f) "pemrosesan diperlukan untuk tujuan kepentingan sah yang dilakukan oleh pengontrol" - penarikan persetujuan klien untuk data pribadi mungkin tidak relevan (Mengabaikan fakta bahwa permintaan itu sendiri dipertanyakan dalam kasus ini).
crunch

Jawaban:

26

TL: DR Klien pada dasarnya salah tentang tipe data yang dicakup dalam GDPR, meskipun ada beberapa hal dalam file yang tercakup di bawahnya. Anda tidak boleh mengiriminya file, meskipun Anda harus merespons dengan informasi pribadi apa pun di dalamnya.

Saya melakukan beberapa pekerjaan perlindungan data untuk perusahaan saya, jadi saya sudah banyak membaca tentang ini. Saya jelas bukan pengacara, jadi banyak dari ini harus diambil dengan sedikit garam. Yang mengatakan, contoh ini memiliki tindakan yang cukup jelas:

  • GDPR hanya mencakup informasi pribadi yang terkait dengan individu https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Ini berarti bahwa satu-satunya hal yang terpengaruh dalam desain Anda oleh GDPR adalah informasi pribadi

  • Karena itu, respons Anda hanya mencakup informasi pribadi yang terkandung dalam desain Anda. Apakah Anda memasukkan alamat email pribadi di alamat mereka? Apakah ada nama atau alamat klien dalam teks? ada foto klien atau orang pada umumnya? Jika demikian, kirimi mereka email yang menyatakan informasi pribadi yang Anda temukan dalam desain, dan tanyakan apakah mereka ingin Anda menghapus bit-bit spesifik itu

  • Jika mereka menjawab ya, hapus alamat email / nama / foto klien informasi pribadi lainnya yang dapat Anda temukan.

  • Ingatlah untuk juga menghapusnya dari cadangan yang Anda miliki, dan dari riwayat file. Jika Anda merasa ramah, Anda mungkin ingin menunjukkan ini akan membuat file lebih sulit digunakan untuk mereka

  • Mereka benar-benar tidak dapat memaksa Anda untuk menyerahkan kepemilikan file di bawah GDPR. Kecuali dinyatakan dalam kontrak, mereka tetap menjadi kekayaan intelektual Anda.

Sunting: lupa sedikit yang penting. Ini hanya berlaku untuk data pribadi orang yang mengajukan permintaan. Hal lain, bahkan data dari salah satu karyawan mereka, tidak dicakup, dan Anda mungkin tidak bisa dan tidak boleh menyerahkan data apa pun. Karyawan mereka harus membuat permintaan sendiri untuk data pribadi mereka. Namun, untuk melindungi diri Anda sendiri, ada baiknya Anda mengulas dan menghapus informasi pribadi yang tidak perlu yang Anda miliki.

Semoga bermanfaat!

lupe
sumber
5
Saya pikir poin pertama akan lebih lengkap jika berbunyi "GDPR hanya mencakup informasi pribadi yang terkait dengan individu yang hidup yang tidak dimiliki untuk keperluan rumah tangga". Informasi teman Anda di ponsel Anda, yang Anda pegang untuk tujuan Anda dan bukan untuk bisnis Anda, tidak dicakup.
Andrew Leach
15

Tidak masalah MENGAPA klien ingin Anda menghapus file Anda dan mengirim semuanya.

Menurut saya klien menggunakan GDPR sebagai alasan dan tidak lebih. Maksud saya, hampir semua desain adalah materi promosi dan segala informasi pribadi yang mungkin - nama, alamat, kontak, email, dll. - dibuat informasi publik melalui promosi itu sendiri. Itu bukan "data tersimpan pribadi". Klien Anda sedang sangat samar di sini, menurut saya.

Biaya untuk pengiriman file. Setelah Anda menerima pembayaran, kirim file dan surat yang menjelaskan semua file akan dihapus dari mesin dan cadangan Anda dan Anda tidak akan lagi menyimpan file apa pun yang terkait dengan klien, setelah Anda diberi tahu mereka menerima file. Lalu masuk dan singkirkan semuanya setelah Anda mendapatkan konfirmasi tanda terima (karena mereka telah membayar untuk ini).

Ingat, meskipun mereka membayar Anda , Anda tidak dapat mengirimi mereka font atau gambar stok apa pun yang Anda beli dan gunakan. Itu pada umumnya dilisensikan kepada Anda dan membagikan barang-barang itu akan membuat Anda melanggar perjanjian lisensi apa pun yang terkait dengannya. Klien harus pergi dan membeli font dan gambar yang diperlukan untuk mendukung desain.

Ini masalah klien jika nanti mereka perlu sesuatu diubah atau dibuat. Anda hanya perlu memastikan Anda dibayar untuk file.

Jika klien tidak ingin membayar apa pun ... jangan berikan file, jangan hapus apa pun . Mereka adalah file Anda . Tidak ada pihak luar yang dapat memaksa Anda untuk melakukan apa pun dengan aset bisnis Anda (selain penegakan hukum).

Jika klien mulai waffling dan menjadi suka berperang dan menuntut file, tolaklah dengan sopan kecuali jika pembayaran diterima.

Skenario kasus yang lebih buruk, Anda kehilangan klien ini (yang akan tetap Anda lakukan dari suara hal-hal), dan klien merasa mereka perlu membuat beberapa tontonan masalah dan mengajukan gugatan atau sesuatu. Gugatan itu, menurut saya, memiliki probabilitas rendah. Namun, mereka mungkin menggunakan itu sebagai taktik untuk mengintimidasi Anda agar melakukan apa yang mereka inginkan. Meskipun saya bukan pengacara , saya ragu mereka akan memenangkan gugatan yang memaksa Anda melepas aset bisnis Anda.

Singkatnya, sikap saya adalah:

Aku senang untuk. Harga untuk semua file adalah $ X. Setelah pembayaran diterima, saya akan meneruskan semua yang saya miliki dan kemudian menghapus semuanya dari sistem saya setelah saya tahu Anda telah menerimanya.

Klien:

Kami tidak membayar

Saya:

Maka saya minta maaf. Saya tidak akan mengirim file, atau menghapus apa pun, tanpa pembayaran.

Klien:

Kami akan menuntut!

Saya:

Baik. Anda bebas melakukan apa yang menurut Anda perlu. Harga untuk aset bisnis saya karena terkait dengan pekerjaan yang saya selesaikan untuk [nama perusahaan] adalah $ x. Saya sangat senang memenuhi permintaan Anda setelah pembayaran diterima. Terima kasih.


Saya telah bekerja pada proyek yang sangat rahasia di mana data perusahaan bersifat pribadi dan dimaksudkan untuk tetap pribadi dalam kelompok kecil. Ini selalu disajikan kepada saya sebagai data yang sangat sensitif yang "tidak akan dibagikan kepada siapa pun". Saya tidak berbicara tentang perjanjian non-pengungkapan, data yang lebih umum yang saya punya rahasia untuk menyelesaikan proyek (kebanyakan keuangan perusahaan). Klien untuk proyek-proyek ini selalu disajikan hal ini di depan pada awal proyek. Jadi, saya tahu kerahasiaannya. Tetapi bahkan berurusan dengan perusahaan multi-juta dolar dengan cara ini, mereka tidak pernah meminta saya menghapus dan menghapus file saya, mereka hanya meminta agar saya menjaga privasi file.

Jika klien ini meminta saya untuk menghapus barang-barang dan mengirimkannya semua file, saya pasti akan mengerti permintaan itu . Tapi saya juga pasti akan menagih mereka untuk mengirimkan file.

Jika mereka hanya ingin saya menghapus file tanpa mengirimkannya, saya mungkin akan menegosiasikan penyelesaian ... seperti pada ... Saya menghapus data pribadi dari potongan-potongan tetapi menjaga desain dalam kebijaksanaan untuk digunakan sebagai sampel portofolio. Memberi mereka persetujuan atas desain yang diubah sehingga mereka dapat memverifikasi informasi pribadi telah dihapus.


Bekerja-untuk-menyewa : jika Anda berada di bawah perjanjian kerja-untuk-menyewa, atau "karyawan", maka mereka benar-benar memiliki segalanya. Memenuhi permintaan mereka tanpa pembayaran atau masalah. File-file itu bukan milikmu.

Scott
sumber
Apakah ini berarti seseorang memiliki insentif yang salah untuk menggunakan font yang sangat mahal, dan plugin;) Hanya mengatakan.
joojaa
Sebenarnya @Joojaa - bagi saya itu berarti saya tidak peduli. Saya membeli dan menggunakan font yang saya pikir berfungsi dengan baik, jika harganya $ 5 atau $ 500 tidak masalah. Saya tidak pernah berencana untuk memasok file desain saya setelah fakta sehingga beban klien tidak pernah menjadi faktor penentu:)
Scott
ya setuju, Anda tidak tahu apakah klien akan menjadi masalah atau tidak :) Tapi sebenarnya itu semacam situasi yang salah hanya membuat saya bertanya-tanya.
joojaa
1
Saya juga telah mengubah font dalam desain jika negosiasi untuk pengiriman file telah datang kemudian, memberikan opsi klien - tinggalkan font dan dikenakan biaya $ x tambahan untuk mendukung desain saat ini atau bayar $ x untuk saya mengubah font menjadi "gratis "atau" Typekit "font yang sudah dimiliki klien (dan saya juga memilikinya).
Scott
11

Ini bukan nasihat hukum jadi jangan anggap seperti itu. Anda mungkin sebenarnya ingin membaca di GDPR. Tapi jangan hanya google untuk itu langsung ke sumber:

  1. Apa itu dikatakan komisi Eropa tentang GDPR
  2. The regulasi yang sebenarnya adalah juga tersedia

Sekarang GDPR tidak mengatakan apa-apa tentang merilis file sumber. Sebaliknya itu cukup masuk akal dalam ruang lingkup. Apa yang pada dasarnya dikatakan adalah:

  • Data pribadi penting
  • Anda harus memiliki alasan untuk menyimpan data pribadi
  • Anda perlu mendokumentasikan data apa yang Anda simpan, mengapa, untuk tujuan apa dan untuk berapa lama. Sesederhana mungkin, dengan dokumen yang tersedia untuk klien Anda.
  • Orang yang memiliki data pribadi memiliki hak untuk meminta meninjau data tersebut. Ini bisa dilakukan dengan banyak cara, tetapi tidak menentukan bahwa itu berarti Anda harus memberikannya dalam bentuk persis seperti yang Anda simpan.
  • Seseorang memiliki hak untuk melakukan koreksi terhadap data pribadi
  • Seseorang memiliki hak untuk meminta penghapusan data pribadi
  • Ini juga memberi tahu Anda bahwa Anda tidak dapat menggunakan data tanpa batasan
    • Jadi Anda tidak bisa begitu saja memberikannya kepada pihak ketiga
  • Anda harus melindungi data tersebut dari pihak ketiga dan penyalahgunaan.

Ini juga menangani beberapa hal tentang cara mengumpulkan persetujuan dan sebagainya.

Jadi klien Anda dapat meminta untuk meninjau data yang telah Anda simpan dan kebijakan penyimpanan data yang Anda miliki (untuk tujuan pembayaran misalnya). Ini tidak harus menjadi file inDesign Anda dapat menyalin bagian yang relevan dari teks misalnya dan mengirimkannya ke klien misalnya, jika dan hanya jika itu adalah data klien untuk memulai.

Tetapi saya bukan pengacara, saya tidak tahu apa-apa tentang bagaimana definisi yang relatif tidak jelas akan ditafsirkan oleh pengacara Eropa.

PS: Kalau menurut Anda GDPR benar-benar ketat dan berat. Ya, itu hanya gejala karena harus melegitimasi tindakan yang wajar. Ketika sesuatu yang seharusnya Anda lakukan tetap saja dituliskan ke dalam undang-undang, semua jenis perilaku yang wajar akan hilang karena undang-undang adalah instrumen yang sangat tumpul yang berlaku untuk semua orang dalam ruang lingkup, masuk akal atau tidak.

joojaa
sumber
1

GDPR adalah situasi yang rumit dan semuanya tergantung pada jenis kontrak yang Anda miliki dengan klien Anda. Jadi ini sebagian besar masalah hukum sebelum sampai ke bagian InDesign.

Selain itu, GDPR adalah masalah hukum utama bagi perusahaan dan yang melibatkan banyak biaya dan GDPR tidak memaksa Anda sebagai penyedia pihak ketiga untuk memberikan file secara gratis.

Secara teori mereka mungkin mengambil tindakan untuk melindungi pekerjaan eksklusif yang dilakukan oleh pihak ketiga, tetapi dalam praktiknya Anda di sisi lain dapat menetapkan harga untuk menyerahkan file.

Namun, jika Anda melakukan pekerjaan sebagai karyawan, Anda mungkin tidak akan memiliki banyak hal untuk dimainkan dan akan perlu memasok semuanya dan menghapus semuanya dari komputer pribadi Anda.

Lihat juga pertanyaan ini: Klien jangka panjang menginginkan file yang berfungsi

Lucian
sumber
Ini adalah tambang saya selama sekitar 3 tahun. Saya punya jumlah data rata-rata. Sebagian besar yang saya kira tidak ada hubungannya dengan Perlindungan Data, karena tidak ada detail klien. Saya akan memberi tahu mereka bahwa saya telah menghapus dan info klien karena itu akan menjadi perbaikan yang lebih cepat daripada mengumpulkan semuanya untuk hasil dan mengirim semuanya. Terima kasih atas saran dan pendapatnya.
Whiteleaf
@Whiteleaf: Perhatikan bahwa Anda dapat menyimpan data klien untuk tujuan penyimpanan catatan. Bahkan, Anda mungkin harus menyimpan data ini, karena alasan pajak. Karena ini merupakan kewajiban hukum, Anda tidak perlu persetujuan dan tidak perlu memenuhi permintaan penghapusan. Anda tentu perlu menghormati hak untuk meminta dan memperbaiki data.
MSalters
0

Saya tidak mengerti apa yang harus dilakukan GDPR dengan file Anda.

Jika Anda mengerjakan Data Pribadi yang diberikan klien Anda, maka Anda menghapus file-file itu dan orang lain yang berisi data (misalnya file kerja), dan mengeluarkan pernyataan kepada klien bahwa Anda telah melakukannya.

Ini melindungi klien jika terjadi sesuatu; mereka dapat menunjukkan data telah dihancurkan.

Memasok file untuk mereka adalah hal yang sama sekali berbeda dan memerlukan biaya. Baik dijelaskan dalam kontrak atau dinyatakan dalam yang benar-benar baru hanya untuk menangani file.

Kedua hal itu tidak saling terhubung. Bahkan di GDPR, panduan "praktik yang baik" menyatakan bahwa file data harus dihancurkan, tidak dikembalikan ke penyedia.

SZCZERZO KŁY
sumber
1
Terima kasih untuk ini. Sejujurnya saya tidak mengharapkan permintaan seperti ini karena sepertinya tidak terkait dengan saya juga. Saya bisa saja melakukannya. Saya akan menghapus data pribadi dan mengirim email untuk mengatakan saya sudah melakukannya.
Whiteleaf
@Whiteleaf Anda mungkin tidak dapat menghapus semua data pribadi klien karena Anda akan melanggar undang-undang pajak!
Josef mengatakan Reinstate Monica
Undang-undang perpajakan kembali: jika Anda perlu menyimpan data pribadi klien untuk tujuan ini atau tujuan serupa lainnya, Anda dapat menyinggung Pasal 6.1 (f) "pemrosesan diperlukan untuk keperluan kepentingan sah yang dikejar oleh pengontrol". GDPR TIDAK memerlukan persetujuan dalam semua kasus.
crunch
@ Josef Data pribadi hanya jika klien Anda adalah orang pribadi. Jika perusahaan, tidak ada data pribadi. GDPR juga menyatakan bahwa untuk kebutuhan yang dijelaskan oleh tagihan atau penawaran, Anda tidak perlu meminta hak pemrosesan.
SZCZERZO KŁY
0

Di bawah GDPR Anda harus menghapus data pribadi. Ia tidak mengatakan apa-apa tentang file bisnis Anda atau produk Anda. Jangan berikan itu. Anda tidak diwajibkan untuk memberikan file-file itu.

Anda hanya berkewajiban memberikan ikhtisar data yang dikumpulkan, ini bisa berupa file teks yang menggambarkan data mana yang Anda miliki. Anda juga wajib ketika diminta untuk memperbarui data atau menghapusnya.

Juga, jangan lupa hukum Pajak. Di bawah sebagian besar undang-undang perpajakan, Anda diharuskan menyimpan data selama X tahun jika Anda menerima uang untuk tujuan audit. Menghapus informasi ini sebenarnya ilegal / mengeja banyak masalah ketika audit terjadi.

Apa yang harus Anda lakukan adalah mengaudit informasi pribadi yang Anda miliki tentang pelanggan di mana (yang sudah seharusnya Anda miliki)

Kirim tangkapan layar dari data pribadi dalam dokumen yang Anda buat. Kirim ringkasan data mana yang Anda miliki. Buat daftar data yang tidak dapat Anda hapus secara sah (faktur tercetak, kutipan rekening bank, dll ...) tetapi beri tahu dia kapan data itu akan dihapus ketika masa audit telah berakhir. Anda dapat menganonimkannya dalam perangkat lunak audit, membuat catatan bahwa informasi sebenarnya ada pada dokumen yang diarsipkan dicetak untuk audit.

Juga mendokumentasikan permintaan penghapusan. Simpan itu dicetak di folder di suatu tempat, beri tahu entitas pribadi bahwa itu juga tempat di mana detailnya akan disimpan, hanya agar Anda dapat menutupi pantat Anda.

Ingatlah bahwa Anda dapat menganonimkan data alih-alih langsung menghapusnya. Jadi mengubah email ke [email protected] untuk menjaga stabilitas perangkat lunak akuntansi, dll ...)

Tschallacka
sumber
Khususnya pada email yang dianonimkan, saya tidak dapat menemukan catatan nobody.com, jadi itu mungkin domain email yang sebenarnya. Gunakan [email protected], karena example.com adalah domain yang dicadangkan (email yang dikirim ke mana pun example.com tidak akan pernah sampai ke seseorang)
Delioth