Solicitud de archivo de trabajo debido al Reglamento General de Protección de Datos (GDPR)

13

He recibido una solicitud para proporcionar al cliente todos sus archivos (incluidos los documentos de InDesign) debido al Reglamento General de Protección de Datos (GDPR). Mi cliente también quiere que elimine los archivos de mi máquina. Realmente no me siento cómodo haciendo esto, ya que el tiempo involucrado también se perdería, ya que no querrán pagar.

¿Cómo debo responder a tal solicitud?

client-relations  business  legal 
Hoja blanca
fuente
1
Luciano
11
Depende de la naturaleza del trabajo que haya almacenado. El RGPD solo se aplica a los datos personales.
Westside
1
@WELZ Sí, eso es lo que estoy diciendo. Si se trata de etiquetas para latas de sopa, entonces no está dentro del alcance de GDPR. El OP no dice nada, por lo que necesitamos más información para ayudar. Tengo entendido que necesitaría datos relacionados con individuos, no empresas, para que GDPR pueda aplicar. Si ese no es el caso, entonces su cliente podría estar probándose.
Westside
55
Estoy de acuerdo con @Scott diciendo que su cliente parece incompleto. Me parece que te habrían notificado ANTES de hacer el trabajo si tuvieras que tener especial cuidado con los datos y el cliente debería haberte requerido que firmes algún tipo de contrato que indique lo que puedes y no puedes hacer con los datos. De lo contrario, tal vez su cliente se equivocó con el manejo de datos y ahora está luchando para corregir su error, que realmente es su problema, no el suyo.
curioso
1
Consulte también el Artículo 6.1 (b) "el procesamiento es necesario para la ejecución de un contrato" y 6.1 (f) "el procesamiento es necesario para los intereses legítimos perseguidos por el controlador" - la retirada del consentimiento del cliente para los datos personales puede ser irrelevante (ignorando el hecho de que la solicitud en sí es cuestionable en este caso).
Crunch

Respuestas:

26

TL: DR El cliente está fundamentalmente equivocado sobre el tipo de datos cubiertos por GDPR, aunque posiblemente haya cosas en los archivos que están cubiertos por él. No debe enviarles los archivos, aunque debe responder con cualquier información personal que contenga.

Estoy haciendo parte del trabajo de protección de datos para mi empresa, así que he estado leyendo mucho sobre esto. Definitivamente no soy un abogado, por lo que un montón de esto debería tomarse con una pizca de sal. Dicho esto, este ejemplo tiene un curso de acción correcto bastante claro:

  • GDPR cubre solo información personal relacionada con individuos https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Esto significa que lo único afectado en su diseño por GDPR es la información personal

  • Por lo tanto, su respuesta solo debe cubrir la información personal contenida en su diseño. ¿Puso una dirección de correo electrónico personal en la de ellos? ¿Hay un nombre o dirección de cliente en el texto? alguna foto de clientes o personas en general? Si es así, envíeles un correo electrónico indicando la información personal que encontró en el diseño y preguntándoles si desean que elimine esos bits específicos

  • Si dicen que sí, elimine las direcciones de correo electrónico / cualquier nombre / fotos del cliente y cualquier otra información personal que pueda encontrar.

  • Recuerde eliminarlo también de cualquier copia de seguridad que tenga y del historial del archivo. Si se siente amigable, es posible que desee señalar que esto hará que los archivos sean más difíciles de usar para ellos

  • No pueden forzarlo a entregar la propiedad de los archivos bajo GDPR. A menos que se indique en el contrato, siguen siendo su propiedad intelectual.

Editar: olvidé un poco importante. Esto solo se aplica a los datos personales de la persona que realiza la solicitud. Cualquier otra cosa, incluso los datos de uno de sus empleados, no están cubiertos, y probablemente no pueda ni deba entregar ninguno de los datos. Sus empleados deberán realizar sus propias solicitudes de sus datos personales. Sin embargo, para protegerte, probablemente valga la pena revisar y eliminar cualquier información personal innecesaria que tengas.

Espero que sea útil!

lupe
fuente
55
Creo que la primera viñeta sería más completa si dijera "GDPR cubre solo información personal relacionada con personas vivas que no se mantiene con fines domésticos". La información de sus amigos en su teléfono, que tiene para sus fines en lugar de la de su empresa, no está cubierta.
Andrew Leach
15

Realmente no importa POR QUÉ el cliente quiere que elimines tus archivos y les envíes todo.

Me parece que el cliente está usando GDPR como excusa y nada más. Quiero decir, prácticamente cualquier diseño es material promocional y cualquier información personal posible (nombre, dirección, contacto, correo electrónico, etc.) se hizo pública a través de las promociones. No son "datos personales almacenados". Su cliente está siendo terriblemente incompleto aquí, en mi opinión.

Cargo por la entrega del archivo. Después de recibir el pago, envíe los archivos y una carta explicando que todos los archivos se eliminarán de sus máquinas y copias de seguridad y ya no conservará ningún archivo relacionado con el cliente, una vez que se le haya notificado que recibió los archivos. Luego entre y elimine todo después de recibir la confirmación del recibo (ya que han pagado por esto).

Recuerde, incluso si le pagan , no puede enviarles ninguna fuente o imagen de stock que haya comprado y utilizado. Esos son por lo general con licencia para usted y compartir esos artículos pondría usted en incumplimiento de un acuerdo de licencia relacionados con ellos. El cliente deberá ir y comprar las fuentes e imágenes necesarias para admitir los diseños.

Es el problema del cliente si luego necesita algo alterado o creado. Simplemente necesita estar seguro de que le pagan por los archivos.

Si el cliente no quiere pagar nada ... no le dé los archivos, no elimine nada . Son tus archivos . Ninguna parte externa puede obligarlo a hacer nada con los activos de su negocio (que no sean las fuerzas del orden).

Si el cliente comienza a hacer gofres y se vuelve beligerante y exige archivos, simplemente rechace cortésmente a menos que se reciba el pago.

En el peor de los casos, pierde a este cliente (lo que va a hacer de todos modos por el sonido de las cosas), y el cliente siente que necesita hacer un espectáculo del asunto y presentar una demanda o algo así. El traje, en mi opinión, tiene una baja probabilidad. Sin embargo, pueden mencionarlo para usarlo como una táctica para intimidarlo para que haga lo que quiere. Si bien no soy abogado , dudo que ganen una demanda que lo obligue a eliminar sus activos comerciales.

En resumen, mi postura sería:

Estoy feliz de. El precio de todos los archivos es $ X. Una vez que se reciba el pago, reenviaré todo lo que tengo y luego lo eliminaré de mis sistemas una vez que sepa que lo ha recibido.

Cliente:

No estamos pagando

Yo:

Entonces lo siento. No entregaré archivos ni eliminaré nada sin pago.

Cliente:

Nosotros demandaremos!

Yo:

Bueno. Eres libre de hacer lo que consideres necesario. El precio de los activos de mi empresa en relación con el trabajo que he completado para [nombre de la empresa] es $ x. Estoy muy feliz de cumplir con su solicitud una vez que se reciba el pago. Gracias.

He trabajado en proyectos altamente secretos donde los datos de la empresa eran privados y pretendían permanecer privados dentro de un grupo pequeño. Esto siempre se me presentó como datos altamente confidenciales que "no se deben compartir con nadie". No estoy hablando de ningún acuerdo de confidencialidad, datos más generales de los que tenía conocimiento para completar un proyecto (principalmente los datos financieros de la empresa). Los clientes de estos proyectos siempre presentaron este asunto por adelantado al comienzo de los proyectos. Entonces, estaba al tanto de la confidencialidad. Pero incluso tratando con compañías multimillonarias de esta manera, nunca me pidieron que elimine y elimine mis archivos, simplemente me pidieron que mantenga la privacidad de los archivos.

Si estos clientes me pidieran que eliminara cosas y les enviara todos los archivos, ciertamente entendería la solicitud . Pero también les cobraría por entregar archivos.

Si solo quisieran que eliminara archivos sin entregarlos, probablemente negociaría un acuerdo ... como en ... elimino los datos privados de las piezas pero mantengo el diseño intacto para usarlo como muestras de cartera. Dándoles la aprobación de los diseños alterados para que puedan verificar que la información privada haya sido eliminada.

Trabajo por contrato : si tiene un contrato de trabajo por contrato, o es un "empleado", entonces ellos son los dueños de todo. Cumplir con su solicitud sin pago o emisión. Los archivos no son tuyos.

Scott
fuente
¿Esto significa que uno tiene un incentivo perverso para usar fuentes y complementos muy caros;) Solo digo.
joojaa
En realidad @Joojaa, para mí significa que no me importa. Compro y uso fuentes que creo que funcionan bien, si cuestan $ 5 o $ 500 no importa. Yo no pienso en el suministro de mis archivos de diseño después de los hechos por lo que la carga del cliente nunca es un factor decisivo:)
de Scott
Sí, de acuerdo, no sabes si el cliente va a ser problemático o no :) Pero realmente su situación perversa me hace preguntarme.
joojaa
1
También he cambiado las fuentes en un diseño si se produce una negociación para la entrega de archivos más tarde, dando opciones al cliente: dejar las fuentes e incurrir en una tarifa adicional de $ x para respaldar el diseño actual o pagar $ x para que yo altere las fuentes a "gratis" fuentes "o" Typekit "que el cliente ya tiene (y yo también tengo).
Scott
11

Este no es un consejo legal, así que no lo tome como tal. Es posible que desee leer en GDPR. Pero no solo google para ir directamente a la fuente:

  1. Lo que la comisión europea tiene que decir sobre GDPR
  2. La regulación actual también está disponible

Ahora GDPR no dice nada sobre la liberación de archivos fuente. En cambio, es bastante razonable en su alcance. Lo que básicamente dice es:

  • Los datos personales son importantes.
  • Debe tener un motivo para almacenar datos personales.
  • Debe documentar qué datos almacena, por qué, para qué propósito y por cuánto tiempo. Tan simple como sea posible, con el documento disponible para sus clientes.
  • La persona a quien pertenecen los datos personales tiene derecho a solicitar una revisión de los datos. Esto se puede hacer de muchas maneras, pero no especifica que eso significa que debe proporcionarlo en la forma exacta en que lo almacenó.
  • La persona tiene derecho a hacer correcciones a los datos personales.
  • La persona tiene derecho a solicitar la eliminación de los datos personales.
  • También le dice que no puede usar los datos sin restricciones
    • Por lo tanto, no puede simplemente dárselo a terceros
  • Debe proteger dichos datos de terceros y el mal uso.

También aborda algunas cosas sobre cómo obtener el consentimiento, etc.

Por lo tanto, su cliente puede solicitar revisar los datos que ha almacenado y la política de retención de datos que tiene (para fines de pago, por ejemplo). Este no tiene que ser el archivo inDesign, puede copiar las partes relevantes del texto, por ejemplo, y enviarlo al cliente, por ejemplo, si y solo si son los datos del cliente para empezar.

Pero no soy abogado, no sé casi nada acerca de cómo un abogado europeo interpretaría las definiciones relativamente poco precisas.

PD: Si crees que GDPR es realmente estricto y pesado. Sí, es solo un síntoma de tener que legalizar un comportamiento razonable. Cuando algo que debería haber estado haciendo de todos modos se inscribe en una ley, se pierde todo tipo de comportamiento razonable, ya que una ley es un instrumento muy contundente que se aplica a todos los que tienen alcance, sea razonable o no.

joojaa
fuente
1

GDPR es una situación complicada y todo depende del tipo de contrato que tenga con su cliente. Por lo tanto, esto es principalmente un problema legal antes de llegar a la parte de InDesign.

Además, el RGPD es un problema legal importante para las empresas y uno que implica múltiples costos y el RGPD no lo obliga a usted como proveedor externo a entregar los archivos de forma gratuita.

En teoría, pueden tomar medidas para proteger el trabajo propietario realizado por terceros, pero en la práctica, por otro lado, puede establecer un precio por la entrega de los archivos.

Sin embargo, si hizo el trabajo como empleado, probablemente no tendrá mucho con qué jugar y tendrá que suministrar todo y eliminar todo de su computadora personal.

También vea esta pregunta: el cliente a largo plazo quiere archivos de trabajo

Lucian
fuente
Este es un trocito mío durante unos 3 años. Tengo una cantidad promedio de datos. La mayoría de los cuales probablemente supongo que no tiene nada que ver con la Protección de datos, ya que no hay detalles de los clientes. Les haré saber que he eliminado e información de los clientes, ya que será una solución más rápida que recopilar todo para la salida y enviar todo. Gracias por el consejo y la opinión.
Whiteleaf
@ Whiteleaf: tenga en cuenta que puede conservar los datos del cliente para fines de mantenimiento de registros. De hecho, probablemente deba conservar estos datos, por razones impositivas. Dado que esta es una obligación legal, no necesita consentimiento y no necesita honrar la solicitud de eliminación. Es necesario respetar los derechos de consulta y corregir datos, por supuesto.
MSalters
0

No entiendo qué GDPR tiene que ver con sus archivos.

Si está trabajando en los Datos personales que le proporcionó su cliente, entonces elimina esos archivos y otros que contienen los datos (por ejemplo, archivos de trabajo) y emite una declaración al cliente de que lo ha hecho.

Esto protege al cliente en caso de que surja algo; pueden mostrar que los datos fueron destruidos.

Proporcionar archivos para ellos es algo totalmente diferente y requiere una tarifa. Ya sea descrito en el contrato o declarado en uno completamente nuevo solo para manejar los archivos.

Esas dos cosas no están conectadas entre sí. Incluso en el RGPD, las guías de "buenas prácticas" establecen que los archivos de datos deben destruirse y no devolverse al proveedor.

SZCZERZO KŁY
fuente
1
Gracias por esto. Para ser sincero, no esperaba este tipo de solicitud, ya que tampoco parecía estar vinculada a mí. Solo puedo hacer eso. Eliminaré los datos personales y enviaré un correo electrónico para decir que lo hice.
Whiteleaf
@Whiteleaf ¡Probablemente no pueda eliminar todos los datos personales del cliente porque violaría las leyes fiscales!
Josef dice reinstalar a Mónica
Re leyes fiscales: si necesita conservar los datos personales del cliente para este u otros fines similares, puede aludir al Artículo 6.1 (f) "el procesamiento es necesario para los intereses legítimos que persigue el controlador". El RGPD NO requiere consentimiento en todos los casos.
Crunch
@Josef Datos personales solo si su cliente es una persona privada. Si es empresa no hay datos personales. Asimismo, el RGPD establece que para las necesidades descritas por facturas u ofertas no es necesario solicitar el derecho de procesamiento.
SZCZERZO KŁY
0

Según el RGPD, debe eliminar los datos personales. No dice nada acerca de sus archivos comerciales o sus productos. No los regales. No estás obligado a dar esos archivos.

Solo está obligado a proporcionar una descripción general de los datos recopilados, este podría ser un archivo de texto que describe qué datos tiene dónde. También está obligado cuando se le solicite actualizar los datos o eliminarlos.

Además, no olvide las leyes fiscales. En virtud de la mayoría de las leyes fiscales, debe conservar los datos durante X años si recibió dinero para fines de auditoría. Eliminar esta información puede ser ilegal / causar muchos problemas cuando se realiza una auditoría.

Lo que tendrá que hacer es auditar qué información personal tiene del cliente dónde (que ya debería tener)

Envíe capturas de pantalla de datos personales en los documentos que ha realizado. Envíe un resumen de qué datos tiene dónde. Haga una lista de datos que no pueda eliminar legalmente (facturas impresas, extractos de cuentas bancarias, etc.), pero dígale cuándo se eliminarán cuando haya expirado el plazo de auditoría. Puede anonimizarlo en el software de auditoría, anote que la información real se encuentra en los documentos archivados impresos para la auditoría.

Documente también la solicitud de eliminación. Guárdelo impreso en una carpeta en algún lugar, notifique a la entidad privada que también es un lugar donde se almacenarán sus datos, para que pueda cubrirse el culo.

Recuerde que puede anonimizar datos en lugar de eliminarlos directamente. Por lo tanto, cambiar los correos electrónicos a nobody@example.com para preservar la estabilidad del software de contabilidad, etc.)

Tschallacka
fuente
En el correo electrónico anónimo específicamente, no puedo encontrar ningún registro de nobody.com, por lo que puede ser un dominio de correo electrónico real. Use nobody@example.com, ya que example.com es un dominio reservado (los correos electrónicos enviados a cualquier lugar example.com nunca lo harán a una persona)
Delioth
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.