Arbeitsaktenanforderung aufgrund der Allgemeinen Datenschutzverordnung (DSGVO)

13

Aufgrund der Allgemeinen Datenschutzverordnung (DSGVO) hatte ich die Bitte, einem Kunden alle seine Dateien (einschließlich InDesign-Dokumente) zur Verfügung zu stellen. Mein Kunde möchte auch, dass ich die Dateien von meinem Computer lösche. Ich fühle mich nicht wohl dabei, da die damit verbundene Zeit auch verloren gehen würde, da sie nicht zahlen wollen.

Wie soll ich auf eine solche Anfrage antworten?

client-relations business legal Whiteleaf
quelle
1
Mögliches Duplikat von Wie erklären Sie einem nicht geschulten Kunden den Wert nativer Dateien?
Luciano
11
Hängt von der Art der Arbeit ab, die Sie gespeichert haben. Die DSGVO gilt nur für personenbezogene Daten.
Westside
1
@WELZ Ja, das sage ich. Wenn es sich um Etiketten für Suppendosen handelt, fällt dies nicht in den Geltungsbereich der DSGVO. Das OP sagt nicht so oder so, also brauchen wir mehr Informationen, um zu helfen. Meines Erachtens müssten Daten zu Einzelpersonen und nicht zu Unternehmen vorliegen, damit die DSGVO Anwendung findet. Wenn dies nicht der Fall ist, probiert sein Kunde es möglicherweise einfach an.
Westside
5
Ich stimme @Scott zu und sage, dass Ihr Kunde skizzenhaft erscheint. Mir scheint, Sie wären VOR der Ausführung der Arbeiten benachrichtigt worden, wenn Sie besonders sorgfältig mit den Daten umgegangen wären, und der Kunde hätte Sie auffordern müssen, einen Vertrag zu unterzeichnen, in dem angegeben ist, was Sie mit den Daten tun können und was nicht. Andernfalls hat Ihr Client möglicherweise die Datenverarbeitung durcheinander gebracht und versucht nun, den Fehler zu beheben. Dies ist das Problem, das Sie beheben müssen, und nicht das Ihre.
neugierig
1
Siehe auch Artikel 6.1 (b) "Verarbeitung ist für die Vertragserfüllung erforderlich" und 6.1 (f) "Verarbeitung ist für die Zwecke der vom für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen erforderlich" - der Widerruf der Zustimmung des Kunden zu personenbezogenen Daten kann irrelevant sein (Ignoriert man die Tatsache, dass die Anfrage selbst in diesem Fall fragwürdig ist).
Crunch

Antworten:

26

TL: DR Der Kunde irrt sich grundsätzlich über die Art der Daten, die unter GDPR fallen, obwohl möglicherweise in den Dateien Dinge enthalten sind, die unter GDPR fallen. Sie sollten ihnen die Dateien nicht senden, obwohl Sie darauf mit persönlichen Informationen antworten müssen.

Ich mache einen Teil der Datenschutzarbeit für mein Unternehmen, also habe ich viel darüber gelesen. Ich bin definitiv kein Anwalt, also sollte ein Haufen davon mit einer Prise Salz eingenommen werden. Das heißt, dieses Beispiel hat eine ziemlich klare korrekte Vorgehensweise:

  • BIPR deckt nur persönliche Informationen an Einzelpersonen im Zusammenhang https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Dies bedeutet, dass das einzige, was in Ihrem Design von der DSGVO betroffen ist, persönliche Informationen sind

  • Ihre Antwort sollte daher nur die in Ihrem Entwurf enthaltenen persönlichen Informationen enthalten. Haben Sie eine persönliche E-Mail-Adresse angegeben? Enthält der Text einen Namen oder eine Adresse des Kunden? irgendwelche Fotos von Kunden oder Menschen im Allgemeinen? Wenn ja, senden Sie ihnen eine E-Mail mit den persönlichen Informationen, die Sie im Design gefunden haben, und fragen Sie sie, ob Sie diese spezifischen Bits löschen sollen

  • Wenn sie ja sagen, löschen Sie die E-Mail-Adressen / Namen / Kundenfotos und alle anderen persönlichen Informationen, die Sie finden können.

  • Denken Sie daran, es auch aus allen vorhandenen Sicherungen und aus dem Verlauf der Datei zu löschen. Wenn Sie sich freundlich fühlen, möchten Sie vielleicht darauf hinweisen, dass dies die Verwendung der Dateien für sie erschwert

  • Sie können Sie absolut nicht zwingen, das Eigentum an den Dateien unter der DSGVO zu übergeben. Sofern im Vertrag nicht anders angegeben, bleiben sie Ihr geistiges Eigentum.

Edit: habe ein wichtiges Stück vergessen. Dies gilt nur für die personenbezogenen Daten des Antragstellers. Alles andere, auch die Daten eines Mitarbeiters, sind nicht abgedeckt, und Sie können und sollten wahrscheinlich keine Daten weitergeben. Ihre Mitarbeiter müssen ihre persönlichen Daten selbst anfordern. Es lohnt sich jedoch wahrscheinlich, unnötige personenbezogene Daten zu überprüfen und zu löschen, um sich zu schützen.

Hoffe es ist hilfreich!

Lupe
quelle
5
Ich denke, der erste Aufzählungspunkt wäre vollständiger, wenn er lautet: "Die DSGVO erfasst nur personenbezogene Daten lebender Personen, die nicht für Haushaltszwecke aufbewahrt werden." Die Informationen Ihrer Freunde in Ihrem Telefon, die Sie für Ihre Zwecke und nicht für die Ihres Unternehmens aufbewahren, werden nicht abgedeckt.
Andrew Leach
15

Es spielt keine Rolle, WARUM der Kunde möchte, dass Sie Ihre Dateien löschen und alles senden.

Mir scheint, der Kunde benutzt GDPR als Ausrede und sonst nichts. Ich meine, praktisch jedes Design ist Werbematerial und mögliche persönliche Daten - Name, Anschrift, Kontaktdaten, E - Mail usw. - gemacht wurde die Information der Öffentlichkeit , mich über die Aktionen. Es handelt sich nicht um "personenbezogene Daten". Meiner Meinung nach ist Ihr Kunde hier furchtbar skizzenhaft.

Gebühr für die Lieferung der Datei. Nachdem Sie die Zahlung erhalten haben, senden Sie die Dateien und ein Brief, in dem erläutert wird, dass alle Dateien von Ihren Rechnern und Backups entfernt werden. Sobald Sie benachrichtigt wurden, dass sie die Dateien erhalten haben , werden keine Dateien in Bezug auf den Client mehr gespeichert. Gehen Sie dann hinein und entfernen Sie tatsächlich alles, nachdem Sie eine Empfangsbestätigung erhalten haben (da sie dafür bezahlt haben).

Denken Sie daran, auch wenn sie zahlen Sie , Sie nicht können sie alle Schriften oder Bilder Sie verwendet gekauft und senden. Diese sind im Allgemeinen für Sie lizenziert, und das Teilen dieser Elemente würde Sie gegen eine Lizenzvereinbarung im Zusammenhang mit ihnen verstoßen. Der Kunde muss alle erforderlichen Schriftarten und Bilder erwerben, um die Entwürfe zu unterstützen.

Es ist das Problem des Kunden, wenn später etwas geändert oder erstellt werden muss. Sie müssen lediglich sicher sein, dass Sie für die Dateien bezahlt werden.

Wenn der Kunde nichts bezahlen möchte ... geben Sie ihm die Dateien nicht, löschen Sie nichts . Sie sind Ihre Dateien . Keine fremde Partei kann Sie zwingen, irgendetwas mit Ihrem Unternehmensvermögen zu tun (außer der Strafverfolgung).

Wenn der Kunde anfängt zu waffeln und kriegerisch wird und Akten verlangt, lehnen Sie dies höflich ab, es sei denn, die Zahlung ist eingegangen.

Im schlimmsten Fall verlieren Sie diesen Mandanten (was Sie ohnehin aufgrund der Geräusche der Dinge tun werden), und der Mandant ist der Ansicht, dass er ein Spektakel daraus machen und eine Klage einreichen muss. Der Anzug hat meiner Meinung nach eine geringe Wahrscheinlichkeit. Es kann jedoch vorkommen, dass sie dies als Taktik verwenden, um Sie dazu zu bringen, das zu tun, was sie wollen. Obwohl ich kein Anwalt bin, bezweifle ich, dass sie einen Prozess gewinnen würden, der Sie zwingt, Ihr Unternehmensvermögen zu entfernen.

Kurz gesagt, meine Haltung wäre:

Ich freue mich darauf. Der Preis für alle Dateien beträgt $ X. Sobald die Zahlung eingegangen ist, leite ich alles weiter, was ich habe, und entferne anschließend alles von meinen Systemen, sobald ich weiß, dass Sie es erhalten haben.

Klient:

Wir zahlen nicht

Mir:

Dann tut es mir leid. Ich werde keine Dateien ausliefern oder irgendetwas löschen, ohne dafür zu bezahlen.

Klient:

Wir werden klagen!

Mir:

Okay. Sie können tun, was Sie für notwendig halten. Der Preis für mein Unternehmensvermögen in Bezug auf die Arbeit, die ich für [Firmenname] ausgeführt habe, beträgt $ x. Ich bin sehr froh, Ihrer Bitte nach Eingang der Zahlung nachzukommen. Vielen Dank.

Ich habe an sehr geheimen Projekten gearbeitet, bei denen Unternehmensdaten privat waren und in einer kleinen Gruppe privat bleiben sollten. Dies wurde immer als hochsensible Daten zu mir vorgestellt , die „nicht mit niemandem geteilt werden“. Ich spreche nicht von einer Geheimhaltungsvereinbarung, sondern von allgemeineren Daten, die ich zur Durchführung eines Projekts hatte (hauptsächlich Unternehmensfinanzen). Die Kunden für diese Projekte stellten diese Angelegenheit zu Beginn der Projekte immer im Vorfeld vor . Ich war mir also der Vertraulichkeit bewusst. Aber selbst wenn sie mit Unternehmen mit mehreren Millionen Dollar auf diese Weise umgehen, haben sie mich nie darum gebeten, meine Dateien zu entfernen und zu löschen. Sie bitten nur darum, die Privatsphäre der Dateien zu wahren.

Wenn diese Kunden mich bitten würden, Dinge zu entfernen und ihnen alle Dateien zu senden, würde ich die Anfrage sicherlich verstehen . Aber ich würde ihnen sicherlich auch die Zustellung von Dateien berechnen .

Wenn sie nur wollten, dass ich Dateien lösche, ohne sie auszuliefern, würde ich wahrscheinlich eine Einigung aushandeln ... wie in ... Ich entferne die privaten Daten von den Teilen, aber behalte das Design für die Verwendung als Portfolio-Muster bei. Erteilen Sie ihnen die Zustimmung zu den geänderten Designs, damit sie überprüfen können, ob die privaten Informationen entfernt wurden.

Leiharbeit : Wenn Sie einen Leiharbeitsvertrag haben oder ein "Angestellter" sind, besitzen sie tatsächlich alles. Befolgen Sie ihre Anfrage ohne Zahlung oder Ausgabe. Die Dateien gehören dir nicht.

Scott
quelle
Bedeutet dies, dass man einen perversen Anreiz hat, sehr teure Schriften und Plugins zu verwenden?
Joojaa
Eigentlich @Joojaa - für mich bedeutet es, dass es mir egal ist. Ich kaufe und verwende Schriftarten, die meiner Meinung nach gut funktionieren, wenn sie 5 oder 500 US-Dollar kosten, ist das egal. Ich habe nie vor, meine Designdateien nachträglich zur Verfügung zu stellen, daher ist die Belastung des Kunden niemals ein entscheidender Faktor:)
Scott
ja einverstanden, Sie wissen nicht, ob der Kunde ein Problem sein wird oder nicht :) Aber in Wirklichkeit ist es eine perverse Situation, die mich nur wundern lässt.
Joojaa
1
Ich habe auch die Schriftarten in einem Design geändert, wenn eine Aushandlung für die Dateiübermittlung zu einem späteren Zeitpunkt erfolgt ist. Dies gibt dem Kunden Optionen. Lassen Sie die Schriftarten und es fällt eine zusätzliche Gebühr von $ x an, um das aktuelle Design zu unterstützen "oder" Typekit "-Schriften, die der Client bereits hat (und ich auch).
Scott
11

Dies ist kein rechtlicher Rat, nehmen Sie es also nicht so. Möglicherweise möchten Sie tatsächlich auf GDPR lesen. Aber google nicht einfach, sondern gehe direkt zur Quelle:

  1. Was die Europäische Kommission über die DSGVO zu sagen hat
  2. Die aktuelle Regelung ist ebenfalls verfügbar

Jetzt sagt GDPR nichts über die Freigabe von Quelldateien. Stattdessen ist der Umfang ziemlich vernünftig. Grundsätzlich heißt es:

  • Persönliche Daten sind wichtig
  • Sie benötigen einen Grund, um personenbezogene Daten zu speichern
  • Sie müssen dokumentieren, welche Daten Sie warum, zu welchem ​​Zweck und wie lange speichern. So einfach wie möglich, mit dem für Ihre Kunden verfügbaren Dokument.
  • Die Person, zu der die personenbezogenen Daten gehören, hat das Recht, die Überprüfung der Daten zu beantragen. Dies kann auf viele Arten geschehen, aber es gibt nicht an , dass Sie es in der exakten Form angeben müssen, in der Sie es gespeichert haben.
  • Die Person hat das Recht, Korrekturen an den persönlichen Daten vorzunehmen
  • Die Person hat das Recht, die Löschung der personenbezogenen Daten zu verlangen
  • Außerdem erfahren Sie, dass Sie die Daten nicht uneingeschränkt verwenden können
    • Sie können es also nicht nur an Dritte weitergeben
  • Sie müssen diese Daten vor Dritten schützen und missbrauchen.

Es werden auch einige Dinge zum Sammeln von Einwilligungen usw. behandelt.

Auf diese Weise kann Ihr Kunde die Überprüfung der von Ihnen gespeicherten Daten und der von Ihnen festgelegten Richtlinien zur Vorratsdatenspeicherung anfordern (z. B. für Zahlungszwecke). Dies muss nicht die inDesign-Datei sein. Sie können beispielsweise die relevanten Teile aus dem Text kopieren und an den Client senden, wenn es sich zunächst um die Clientdaten handelt.

Aber ich bin kein Anwalt, ich weiß so gut wie nichts darüber, wie die relativ wague Definition von einem europäischen Anwalt interpretiert werden würde.

PS: Wenn Sie glauben, dass die DSGVO wirklich streng und hartnäckig ist. Ja, es ist nur ein Symptom dafür, dass man ein angemessenes Verhalten legalisieren muss. Wenn etwas, was Sie sowieso hätten tun sollen, in ein Gesetz geschrieben wird, gehen alle Arten von vernünftigem Verhalten verloren, da ein Gesetz ein sehr stumpfes Instrument ist, das für jeden, ob vernünftig oder nicht, gilt.

joojaa
quelle
1

Die DSGVO ist eine komplizierte Situation und alles hängt von der Art des Vertrags ab, den Sie mit Ihrem Kunden haben. Dies ist also meistens eine rechtliche Angelegenheit, bevor Sie mit dem InDesign-Teil beginnen.

GDPR ist ein wichtiges rechtliches Problem für Unternehmen und mit mehreren Kosten verbunden. GDPR zwingt Sie als Drittanbieter nicht, die Dateien kostenlos weiterzugeben.

Theoretisch können sie Maßnahmen ergreifen, um geschützte Arbeiten Dritter zu schützen, in der Praxis können Sie jedoch einen Preis für die Übergabe der Dateien festlegen.

Wenn Sie jedoch als Angestellter gearbeitet haben, werden Sie wahrscheinlich nicht viel zu tun haben und müssen alles versorgen und alles von Ihrem PC entfernen.

Siehe auch diese Frage: Langzeitclient möchte Arbeitsdateien

Lucian
quelle
Dies ist ein Slient von mir seit ca. 3 Jahren. Ich habe eine durchschnittliche Datenmenge. Die meisten davon haben vermutlich nichts mit Datenschutz zu tun, da keine Kundendaten vorliegen. Ich werde sie wissen lassen, dass ich Kundeninformationen gelöscht habe, da dies eine schnellere Lösung ist, als alles für die Ausgabe zu sammeln und alles zu senden. Danke für den Rat und die Meinung.
Whiteleaf
@Whiteleaf: Beachten Sie, dass Sie möglicherweise Kundendaten zu Aufzeichnungszwecken aufbewahren. In der Tat müssen Sie diese Daten wahrscheinlich aus steuerlichen Gründen aufbewahren. Da dies gesetzlich vorgeschrieben ist, benötigen Sie keine Einwilligung und müssen Löschanforderungen nicht nachkommen. Natürlich müssen Sie die Rechte zur Abfrage und Korrektur von Daten beachten.
MSalters
0

Ich verstehe nicht, was GDPR mit Ihren Dateien zu tun hat.

Wenn Sie an personenbezogenen Daten arbeiten, die Ihr Kunde zur Verfügung gestellt hat, löschen Sie diese und andere Dateien, die die Daten enthalten (z. B. Arbeitsdateien), und erteilen dem Kunden eine Erklärung, dass Sie dies getan haben.

Dies schützt den Kunden für den Fall, dass etwas entsteht. Sie können anzeigen, dass die Daten zerstört wurden.

Das Bereitstellen von Dateien ist etwas völlig anderes und kostenpflichtig. Entweder im Vertrag beschrieben oder in einem völlig neuen angegeben, nur für den Umgang mit den Dateien.

Diese beiden Dinge sind nicht miteinander verbunden. Selbst in der DSGVO wird in "Good Practice" -Richtlinien festgelegt, dass Datendateien zerstört und nicht an den Anbieter zurückgegeben werden sollen.

SZCZERZO KŁY
quelle
1
Danke dafür. Um ehrlich zu sein, hatte ich diese Art von Anfrage nicht erwartet, da sie auch nicht mit mir verbunden zu sein schien. Ich kann das einfach tun. Ich lösche die persönlichen Daten und sende eine E-Mail, um mitzuteilen, dass ich dies getan habe.
Whiteleaf
@Whiteleaf Sie können wahrscheinlich nicht alle persönlichen Daten des Kunden löschen, da Sie gegen die Steuergesetze verstoßen würden!
Josef sagt Reinstate Monica
Steuerrecht: Wenn Sie die personenbezogenen Daten des Kunden für diesen oder ähnliche Zwecke aufbewahren müssen, könnten Sie auf Artikel 6.1 (f) verweisen. "Die Verarbeitung ist zum Zwecke der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich." Die DSGVO bedarf NICHT in allen Fällen der Zustimmung.
Crunch
@Josef Persönliche Daten nur, wenn Ihr Kunde eine Privatperson ist. Wenn es sich um eine Firma handelt, gibt es keine personenbezogenen Daten. Die DSGVO erklärt auch, dass Sie für die durch Rechnungen oder Angebote beschriebenen Bedürfnisse kein Bearbeitungsrecht beantragen müssen.
SZCZERZO KŁY
0

Im Rahmen der DSGVO müssen Sie personenbezogene Daten entfernen. Es sagt nichts über Ihre Geschäftsakten oder Ihre Produkte aus. Gib die nicht weg. Sie sind nicht verpflichtet, diese Dateien zu geben.

Sie müssen lediglich einen Überblick über die gesammelten Daten geben. Dies kann eine Textdatei sein, die beschreibt, über welche Daten Sie wo verfügen. Sie sind auch verpflichtet, die Daten zu aktualisieren oder zu entfernen, wenn Sie dazu aufgefordert werden.

Vergessen Sie auch nicht die Steuergesetze. Nach den meisten Steuergesetzen müssen Sie Daten X Jahre lang aufbewahren, wenn Sie Geld für Prüfungszwecke erhalten haben. Das Löschen dieser Informationen ist möglicherweise illegal und kann zu erheblichen Problemen führen, wenn eine Prüfung durchgeführt wird.

Was Sie tun müssen, ist zu prüfen, welche persönlichen Informationen Sie über den Kunden haben (welche Sie bereits haben sollten).

Senden Sie Screenshots von persönlichen Daten in den von Ihnen erstellten Dokumenten. Senden Sie eine Zusammenfassung, welche Daten Sie wo haben. Erstellen Sie eine Liste mit Daten, die Sie nicht rechtmäßig löschen können (gedruckte Rechnungen, Bankauszüge usw.), teilen Sie ihm jedoch mit, wann sie gelöscht werden, wenn die Prüfungsdauer abgelaufen ist. Sie können es in der Prüfsoftware anonymisieren und notieren, dass die tatsächlichen Informationen auf den gedruckten archivierten Dokumenten für die Prüfung vorhanden sind.

Dokumentieren Sie auch den Antrag auf Entfernung. Speichern Sie es gedruckt in einem Ordner irgendwo, benachrichtigen Sie die private Einheit, dass dies auch ein Ort ist, an dem seine Daten gespeichert werden, nur damit Sie Ihren Arsch bedecken können.

Denken Sie daran, dass Sie Daten anonymisieren können, anstatt sie direkt zu löschen. Ändern Sie also Ihre E-Mails an [email protected], um die Stabilität der Buchhaltungssoftware usw. zu gewährleisten.)

Tschallacka
quelle
Insbesondere in der anonymisierten E-Mail kann ich keine Aufzeichnung von nobody.com finden, sodass es sich möglicherweise um eine tatsächliche E-Mail-Domain handelt. Verwenden Sie [email protected], da example.com eine reservierte Domain ist (E-Mails, die an einen beliebigen Ort gesendet werden, werden von example.com niemals an eine Person weitergeleitet)
Delioth,