Genel Veri Koruma Yönetmeliği (GDPR) nedeniyle çalışma dosyası talebi


13

Genel Veri Koruma Yönetmeliği (GDPR) nedeniyle bir istemciye tüm dosyalarını (InDesign belgeleri dahil) sağlamak için istekte bulundum. Müşterim ayrıca dosyaları makinemden silmemi istiyor. Bunu yapmaktan gerçekten rahatsız değilim çünkü içerdiği zaman da ödemek istemeyecekleri için kaybolacak.

Böyle bir talebe nasıl cevap vermeliyim?



11
Sakladığınız işin niteliğine bağlıdır. GDPR yalnızca kişisel veriler için geçerlidir.
Westside

1
@WELZ Evet, ben de öyle söylüyorum. Çorba tenekesi için etiket ise, GSYİH kapsamında değildir. OP her iki şekilde de söylemiyor, bu yüzden yardım için daha fazla bilgiye ihtiyacımız var. Benim anlayışım, GSYİH'nın uygulanması için şirketler değil bireylerle ilgili veriler olması gerektiğidir. Eğer durum böyle değilse, müşterisi sadece deniyor olabilir.
Westside

5
@Scott'a, müşterinizin kabataslak göründüğünü söyleyerek katılıyorum. Bana verilerle fazladan dikkat etmeniz gerekiyorsa ve müşteri verilerle yapabileceklerinizi ve yapamayacağınızı belirten bir tür sözleşme imzalamanızı gerektiriyorsa, işi yapmadan ÖNCE size bildirilmiş olabilir. Aksi takdirde, müşteriniz veri işleme ile kötü bir şekilde uğraştı ve şimdi hatalarını düzeltmek için uğraşıyor, ki bu gerçekten onların sorunu değil, sizinki değil.
meraklı

1
Ayrıca bkz. Madde 6.1 (b) "bir sözleşmenin ifası için işlem gerekli" ve 6.1 (f) "işlem, kontrolör tarafından izlenen meşru menfaatler için gereklidir" - müşterinin kişisel veriler için rızasını geri alması ilgisiz olabilir (bu durumda talebin kendisinin şüpheli olduğu gerçeğini göz ardı ederek).
crunch

Yanıtlar:


26

TL: DR İstemci, temelde GDPR kapsamında kapsanan veri türüyle ilgili yanılıyor, ancak dosyalarda kapsanan dosyalar içinde muhtemelen bir şeyler var. Dosyaları göndermemelisiniz, ancak içindeki herhangi bir kişisel bilgiyle yanıt vermeniz gerekir.

Şirketim için bazı veri koruma çalışmaları yapıyorum, bu yüzden bu konuda çok şey okuyorum. Kesinlikle bir avukat değilim, bu yüzden bir avuç tuzla alınmalı. Bununla birlikte, bu örneğin oldukça açık ve doğru bir hareket tarzı vardır:

  • GDPR yalnızca bireylerle ilgili kişisel bilgileri kapsar https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Bu, tasarımınızda GSYİH'den etkilenen tek şeyin kişisel bilgiler olduğu anlamına gelir

  • Bu nedenle yanıtınız yalnızca tasarımınızda bulunan kişisel bilgileri kapsamalıdır. Kendi adreslerine kişisel bir e-posta adresi mi koydunuz? Metinde bir müşteri adı veya adresi var mı? müşterilerin veya genel olarak insanların herhangi bir fotoğraf? Öyleyse, onlara tasarımda bulduğunuz kişisel bilgileri belirten ve bu belirli bitleri silmenizi isteyip istemediklerini soran bir e-posta gönderin.

  • Evet diyorlarsa, bulabileceğiniz diğer kişisel bilgileri e-posta adreslerini / herhangi bir adı / müşteri fotoğrafını silin.

  • Ayrıca, sahip olduğunuz tüm yedeklemelerden ve dosyanın geçmişinden de silmeyi unutmayın. Dostça hissediyorsanız, bunun dosyaların dosyaların kullanımını zorlaştıracağını belirtmek isteyebilirsiniz

  • Sizi kesinlikle GDPR kapsamındaki dosyaların sahipliğini devretmeye zorlayamazlar. Sözleşmede belirtilmedikçe, fikri mülkiyetiniz olarak kalırlar.

Düzenleme: önemli bir bit unuttum. Bu sadece talepte bulunan kişinin kişisel verileri için geçerlidir. Çalışanlarının birinden gelen veriler bile, başka hiçbir şey kapsam dahilinde değildir ve muhtemelen hiçbir veriyi veremez ve veremezsiniz. Çalışanlarının kişisel verileri için kendi taleplerini yapmaları gerekecektir. Bununla birlikte, kendinizi korumak için muhtemelen sahip olduğunuz gereksiz kişisel bilgileri gözden geçirmeye ve silmeye değer.

Umarım faydalıdır!


5
Bence "GDPR sadece hane halkı için tutulmayan canlı kişilerle ilgili kişisel bilgileri kapsamaktadır" yazıyorsa, ilk kurşun noktasının daha eksiksiz olacağını düşünüyorum. Eğer için tutun telefonunuzda, arkadaşlarınızın bilgi için amaçları yerine iş yılların, kapsamında değildir.
Andrew Leach

15

İstemci neden dosyalarınızı silmenizi ve her şeyi göndermenizi istediği önemli değil.

Bana öyle geliyor ki müşteri GDPR'yi bir bahane olarak kullanıyor ve başka bir şey değil. Demek istediğim, hemen hemen her tasarım tanıtım materyali ve olası kişisel bilgiler - isim, adres, iletişim, e-posta vb. - tanıtımların kendileri aracılığıyla halka açık bilgiler yapıldı . "Kişisel saklanan veriler" değildir. Müvekkilim bence burada çok kabataslak.

Dosya teslimi için ücret alın. Sonra ödemeleri almak, dosyaları ve makine ve yedekleri kaldırılacaktır tüm dosyaları açıklayan bir mektup göndermek ve artık koruyacaktır herhangi onlar Alınan dosyaları tebliğ edildikten sonra, müşteriye ilgili dosyaları. Sonra girin ve makbuz onayı aldıktan sonra aslında her şeyi kaldırın (çünkü bunun için ödeme yaptıklarından).

Unutmayın, onlar size ödeme bile , sen olamaz onlara satın alıp kullanılan herhangi bir yazı veya stok görüntüleri göndermek. Bunlar genellikle size lisanslıdır ve bu öğeleri paylaşmak , kendileriyle ilgili herhangi bir lisans sözleşmesini ihlal etmenize neden olur. Müşterinin tasarımları desteklemek için gerekli yazı tiplerini ve görüntüleri satın alması gerekir.

Daha sonra değiştirilmiş veya yaratılmış bir şeye ihtiyaç duymaları müşterinin sorunudur . Sadece dosyalar için size para ödeneceğinden emin olmanız gerekir .

Müşteri hiçbir şey için ödeme yapmak istemiyorsa ... onlara dosya vermeyin, hiçbir şeyi silmeyin . Onlar sizin dosyalarınız . Hiçbir dış taraf sizi işletme varlıklarınızla (kolluk kuvvetleri hariç) herhangi bir şey yapmaya zorlayamaz .

Müşteri waffling yapmaya başlar ve savaşmaya başlar ve dosya talep ederse, ödeme alınmadıkça sadece kibarca reddedin.

Daha da kötüsü senaryo, bu müşteriyi kaybedersiniz (her şeyden önce yapacaksınız) ve müşteri, konunun bir gösterisini yapması ve bir dava ya da bir şey yapması gerektiğini düşünüyor. Bence takımın olasılığı düşük. Ancak bunu, istediklerini yapmanıza zorbalık etmek için bir taktik olarak kullanmaya başlayabilirler. İken ben bir avukat değilim , onlar iş varlıklarını kaldırmak için zorluyor bir takım kazanmak şüpheliyim.

Kısacası, benim duruşum:

Memnun oldum. Tüm dosyaların fiyatı $ X. Ödeme alındıktan sonra, sahip olduğum her şeyi ileteceğim ve daha sonra aldığınızı bildiğimde hepsini sistemimden kaldıracağım.

Müşteri:

Biz ödemiyoruz

Ben mi:

Sonra özür dilerim. Dosyaları ödemeden teslim etmeyeceğim veya hiçbir şeyi silemeyeceğim.

Müşteri:

Dava açacağız!

Ben mi:

Tamam. Gerekli olduğunu düşündüğünüz şeyi yapmakta özgürsünüz. İşletme varlıklarım için [şirket adı] için tamamladığım işle ilgili fiyat x $. Ödeme alındıktan sonra isteğinize uymaktan çok mutluyum. Teşekkür ederim.


Şirket verilerinin özel olduğu ve küçük bir grup içinde gizli kalmayı amaçladığı son derece gizli projeler üzerinde çalıştım . Bu bana her zaman "kimseyle paylaşılmayacak" gibi son derece hassas veriler olarak sunuldu. Herhangi bir gizlilik sözleşmesinden bahsetmiyorum, bir projeyi tamamlamak için özel olarak sahip olduğum daha genel veriler (çoğunlukla şirket finansları). Bu projeler için istemcilerin her zaman bu konuyu takdim ön de baştan projeleri. Böylece, gizliliğin farkındaydım. Ancak milyonlarca dolarlık şirketlerle bu şekilde uğraşırken bile, dosyalarımı kaldırmamı ve silmemi hiç istemediler, yalnızca dosyaların gizliliğini korumamı istiyorlar.

Bu istemciler bir şeyleri kaldırmamı ve tüm dosyaları göndermemi isteseydi, kesinlikle isteği anlıyorum . Ama kesinlikle dosyaları teslim etmek için onları ücretlendiririm .

Dosyaları teslim etmeden silmemi isteselerdi, muhtemelen bir anlaşmayı müzakere ederdim ... olduğu gibi ... Özel verileri parçalardan kaldırırım, ancak tasarımını portföy örnekleri olarak kullanmak için incede tutarım. Özel bilgilerin kaldırıldığını doğrulayabilmeleri için değiştirilen tasarımların onaylanması.


Kiralamak için çalışın : bir kiralamak için çalıştığınız anlaşma veya bir "çalışan" altındaysanız, aslında her şeye sahiptirler. Ödeme veya sorun olmadan isteklerine uyun. Dosyalar senin değil.


Bu çok pahalı yazı tipleri ve eklentileri kullanmak için sapkın bir teşvik olduğu anlamına gelir mi;) Sadece söyleyerek.
joojaa

Aslında @Joojaa - benim için umrumda değil. İyi çalıştığını düşündüğüm yazı tiplerini satın alıp kullanıyorum, 5 $ veya 500 $ 'a mal olursa önemli değil. Ben asla istemci yükü kararda belirleyici asla yani aslında sonra benim tasarım dosyalarını sağlamaya plan:)
Scott

evet kabul etti, müşteri sorunlu olup olmayacağını bilmiyorum :) Ama gerçekten onun sapık bir durum sadece beni merak ediyor.
joojaa

1
Ayrıca, dosya seçenekleri için bir müzakere daha sonra geldiyse, bir tasarımda yazı tiplerini değiştirdim, istemci seçeneklerini veriyor - yazı tiplerini bırakın ve mevcut tasarımı desteklemek için ek x $ ücrete tabi olun veya yazı tiplerini "ücretsiz "veya" Typekit "istemcileri zaten var (ve ben de) yazı tipleri.
Scott

11

Bu yasal tavsiye değil, bu yüzden böyle almayın. Aslında GDPR hakkında okumak isteyebilirsiniz. Ama sadece google doğrudan kaynağa gitmek için dont:

  1. Ne avrupa komisyonu GDPR hakkında söylemek zorunda
  2. Gerçek düzenleme de geniş bir yelpaze olduğunu

Şimdi GDPR kaynak dosyaları yayınlamakla ilgili hiçbir şey söylemiyor. Bunun yerine kapsamı oldukça makul. Temel olarak söylediği şey:

  • Kişisel veriler önemlidir
  • Kişisel verileri saklamak için bir nedeniniz olması gerekir
  • Hangi verileri sakladığınızı, neden, hangi amaçla ve ne kadar süreyle belgelemeniz gerekir. Mümkün olduğunca basit bir şekilde, müşterileriniz için mevcut belge ile
  • Kişisel verilerin ilgili kişi verileri gözden geçirme isteme hakkına sahiptir. Bu birçok şekilde yapılabilir, ancak yok değil sen bunu depolanan tam formda vermek gerektiğini araçları belirtin.
  • Kişi kişisel verilerinde düzeltme yapma hakkına sahiptir
  • Kişi kişisel verilerin silinmesini isteme hakkına sahiptir
  • Ayrıca, verileri kısıtlamasız olarak kullanamayacağınızı söyler
    • Yani sadece üçüncü taraflara veremezsin
  • Bu tür verileri üçüncü taraflardan korumalı ve kötüye kullanmalısınız.

Ayrıca rızanın nasıl toplanacağı vb.

Böylece müşteriniz sakladığınız verileri ve sahip olduğunuz veri saklama politikasını (örneğin ödeme amacıyla) gözden geçirmeyi talep edebilirsiniz. Bunun inDesign dosyası olması gerekmez, örneğin ilgili bölümleri metinden kopyalayabilir ve örneğin istemciye gönderebilirsiniz, eğer sadece ve sadece başlangıçtaki istemci verileri ise.

Ama ben bir avukat değilim, nispeten wague tanımlarının bir Avrupa avukatı tarafından nasıl yorumlanacağı hakkında hiçbir şey bilmiyorum.

Not: GDPR'nin gerçekten katı ve ağır olduğunu düşünüyorsanız. Evet, bu sadece makul davranışları yasallaştırmanın bir belirtisidir. Zaten yapman gereken bir şey bir yasaya yazıldığında, bir yasa, kapsamdaki herkes için geçerli olan ya da olmayan, çok künt bir araç olduğundan, her türlü makul davranış kaybolur.


1

GDPR karmaşık bir durumdur ve her şey müşterinizle yaptığınız sözleşmenin türüne bağlıdır. Bu, InDesign bölümüne gelmeden önce çoğunlukla yasal bir sorundur.

Ayrıca, GDPR şirketler için önemli bir yasal konudur ve birden fazla maliyet içeren bir sorundur ve GDPR sizi üçüncü taraf sağlayıcı olarak dosyaları ücretsiz olarak vermeye zorlamaz.

Teorik olarak, üçüncü taraflarca yapılan tescilli işleri korumak için harekete geçebilirler, ancak pratikte dosyaları teslim etmek için bir fiyat belirleyebilirsiniz.

Ancak, çalışmayı bir çalışan olarak yaptıysanız, muhtemelen oynamak için çok fazla şeyiniz olmayacak ve her şeyi tedarik etmeniz ve kişisel bilgisayarınızdan her şeyi kaldırmanız gerekecektir.

Ayrıca şu soruya bakın: Uzun süreli istemci çalışma dosyaları istiyor


Bu, yaklaşık 3 yıldır benim bir dilim. Ortalama bir veri miktarım var. Muhtemelen tahmin edebileceğim birçoğunun Veri Koruması ile hiçbir ilgisi yoktur, çünkü müşteri detayları yoktur. Onları sildiğimi ve müşterilerin bilgisini bildireceğim, çünkü bu çıktı için her şeyi toplayıp her şeyi göndermekten daha hızlı bir düzeltme olacak. Tavsiye ve görüş için teşekkürler.
Whiteleaf

@Whiteleaf: İstemci verilerini kayıt tutma amacıyla tutabileceğinizi unutmayın. Aslında, vergi nedeniyle bu verileri muhtemelen saklamanız gerekir. Bu yasal bir zorunluluk olduğu için rızaya ve silme talebini yerine getirmenize gerek yoktur. Elbette, verileri sorgulama ve düzeltme haklarını yerine getirmeniz gerekir.
MSalters

0

GDPR'nin dosyalarınızla ne ilgisi olduğunu anlamıyorum.

Müşterinizin sağladığı Kişisel Veriler üzerinde çalışıyorsanız, bu dosyaları ve verileri içeren diğer dosyaları (örn. İş dosyaları) sildiğiniz ve istemciye bunu yaptığınız bir bildirim gönderirsiniz.

Bu, herhangi bir şey olması durumunda müşteriyi korur; verilerin yok edildiğini gösterebilirler.

Onlar için dosya sağlamak tamamen farklı bir şeydir ve bir ücret gerektirir. Sözleşmede açıklanmıştır veya sadece dosyaları işlemek için tamamen yeni bir sözleşmede belirtilmiştir.

Bu iki şey birbiriyle bağlantılı değil. GDPR'de bile, "iyi uygulama" rehberleri veri dosyalarının sağlayıcıya döndürülmemesi gereken imha edilmesi gerektiğini belirtir.


1
Bunun için teşekkürler. Dürüst olmak gerekirse ben de bana bağlı görünmüyordu gibi bu tür bir istek beklemiyordum. Sadece yapabilirim. Kişisel verileri sileceğim ve bunu yaptığımı söylemek için bir e-posta göndereceğim.
Whiteleaf

@Whiteleaf Vergi yasalarını ihlal edeceğiniz için müşterinin tüm kişisel verilerini silemezsiniz!
Josef, Reinstate Monica'nın

Vergi yasaları: müşterinin kişisel verilerini bu veya benzeri amaçlarla tutmanız gerekiyorsa, Madde 6.1 (f) "denetleyici tarafından izlenen meşru menfaatler için işlem gerekli" ifadesine başvurabilirsiniz. GDPR doe her durumda onay gerektirmez.
crunch

@Josef Kişisel veriler yalnızca müşteriniz özel kişi ise. Eğer şirket ise kişisel veri yoktur. Ayrıca GDPR, faturalar veya anlaşmalar tarafından açıklanan ihtiyaçlar için işleme hakkı istemenize gerek olmadığını belirtir.
SZCZERZO KŁY

0

GDPR altında kişisel verileri kaldırmanız gerekir. İş dosyalarınız veya ürünleriniz hakkında hiçbir şey söylemez. Onları vermeyin. Bu dosyaları vermek zorunda değilsiniz.

Yalnızca toplanan verilere genel bir bakış sağlamakla yükümlüsünüz; bu, hangi verilere nerede sahip olduğunuzu açıklayan bir metin dosyası olabilir. Ayrıca, verileri güncellemeniz veya kaldırmanız istendiğinde de yükümlülüğünüz vardır.

Ayrıca Vergi yasalarını da unutmayın. Çoğu vergi kanunu uyarınca, denetim amacıyla para aldıysanız, verileri X yıl boyunca saklamanız gerekir. Bu bilgilerin silinmesi aslında yasa dışı olabilir / bir denetim gerçekleştiğinde çok fazla sorun olabilir.

Yapmanız gereken, müşterinin hangi kişisel bilgilerine sahip olduğunuzu (zaten sahip olmanız gerekir) denetlemektir.

Yaptığınız belgelerdeki kişisel verilerin ekran görüntülerini gönderin. Nerede bulunduğunuz verinin bir özetini gönderin. Yasal olarak silemeyeceğiniz verilerin bir listesini yapın (basılı faturalar, banka hesabı alıntıları, vb.) Ancak denetim süresi dolduğunda ne zaman silineceğini söyleyin. Denetim yazılımında anonim hale getirebilir, gerçek bilgilerin denetim için basılı arşivlenmiş belgelerde olduğunu not edebilirsiniz.

Ayrıca kaldırma isteğini de belgeleyin. Basılı bir yerde bir klasörde saklayın, özel varlığa, aynı zamanda kıçınızı kaplayabilmeniz için ayrıntılarının saklanacağı bir nokta olduğunu bildirin.

Verileri doğrudan silmek yerine anonimleştirebileceğinizi unutmayın. Bu nedenle, muhasebe yazılımı kararlılığını korumak için e-postaları nobody@example.com olarak değiştirmek vb.)


Özellikle anonimleştirilmiş e-postada nobody.com'un herhangi bir kaydını bulamıyorum, bu yüzden gerçek bir e-posta etki alanı olabilir. Example.com ayrılmış bir alan olduğu için nobody@example.com kullanmayın (example.com'un herhangi bir yerine gönderilen e-postalar asla bir kişiye gönderilmez)
Delioth
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.