सामान्य डेटा सुरक्षा विनियमन (GDPR) के कारण कार्य फ़ाइल अनुरोध

मेरा जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) के कारण उनकी सभी फाइलों (InDesign डॉक्स सहित) के साथ क्लाइंट की आपूर्ति करने का अनुरोध किया गया है। मेरा मुवक्किल यह भी चाहता है कि मैं अपनी मशीन से फाइलें हटाऊं। मैं वास्तव में ऐसा करने में सहज नहीं हूं क्योंकि इसमें शामिल समय भी खो जाएगा क्योंकि वे भुगतान नहीं करना चाहते हैं।

मुझे इस तरह के अनुरोध का जवाब कैसे देना चाहिए?

TL: DR क्लाइंट को मूल रूप से GDPR के अंतर्गत आने वाले डेटा के प्रकार के बारे में गलत तरीके से समझा जाता है, हालाँकि इसके अंतर्गत आने वाली फाइलों में संभवतः चीजें होती हैं। आपको उन्हें फाइलें नहीं भेजनी चाहिए, हालांकि आपको उनमें किसी भी व्यक्तिगत जानकारी के साथ प्रतिक्रिया करने की आवश्यकता है।

मैं अपनी कंपनी के लिए कुछ डेटा सुरक्षा का काम कर रहा हूं, इसलिए मैं इसके बारे में बहुत कुछ पढ़ रहा हूं। मैं निश्चित रूप से एक वकील नहीं हूं, इसलिए इसका एक गुच्छा नमक की एक चुटकी के साथ लिया जाना चाहिए। उस ने कहा, इस उदाहरण में कार्रवाई का एक बिल्कुल स्पष्ट सही तरीका है:

• GDPR केवल व्यक्तिगत व्यक्तियों से संबंधित जानकारी को शामिल किया गया https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

• इसका मतलब यह है कि जीडीपीआर द्वारा आपके डिजाइन में प्रभावित एकमात्र चीज व्यक्तिगत जानकारी है

• इसलिए, आपकी प्रतिक्रिया को केवल आपके डिज़ाइन में निहित व्यक्तिगत जानकारी को कवर करना चाहिए। क्या आपने उनका व्यक्तिगत ईमेल पता डाला है? क्या पाठ में कोई क्लाइंट नाम या पता है? ग्राहकों या सामान्य रूप से लोगों की कोई भी तस्वीर? यदि ऐसा है, तो उन्हें डिज़ाइन में मिली व्यक्तिगत जानकारी बताते हुए एक ईमेल भेजें और पूछें कि क्या वे आपको उन विशिष्ट बिट्स को हटाना चाहते हैं

• यदि वे हां कहते हैं, तो ईमेल पते / किसी भी नाम / क्लाइंट फोटो को किसी अन्य व्यक्तिगत जानकारी को हटा दें जो आप पा सकते हैं।

• अपने पास मौजूद किसी भी बैकअप और फ़ाइल के इतिहास से इसे हटाने के लिए भी याद रखें। यदि आप अनुकूल महसूस कर रहे हैं, तो आप यह इंगित करना चाहते हैं कि इससे उनके लिए फ़ाइलों का उपयोग करना कठिन हो जाएगा

• वे पूरी तरह से आपको GDPR के तहत फ़ाइलों के स्वामित्व को सौंपने के लिए मजबूर नहीं कर सकते हैं। जब तक अनुबंध में नहीं कहा जाता है, वे आपकी बौद्धिक संपदा बने रहते हैं।

संपादित करें: एक महत्वपूर्ण बिट भूल गया। यह केवल अनुरोध करने वाले व्यक्ति के व्यक्तिगत डेटा पर लागू होता है। कुछ भी, यहां तक ​​कि उनके कर्मचारियों में से एक से भी डेटा को कवर नहीं किया जाता है, और आप शायद किसी भी डेटा को हाथ नहीं लगा सकते हैं। उनके कर्मचारियों को अपने व्यक्तिगत डेटा के लिए अपने स्वयं के अनुरोध करने होंगे। अपने आप को बचाने के लिए, हालांकि, यह संभवत: आपके द्वारा धारण की गई किसी भी अनावश्यक व्यक्तिगत जानकारी की समीक्षा करने और हटाने के लायक है।

आशा है कि यह उपयोगी है!

वास्तव में कोई फर्क नहीं पड़ता कि ग्राहक आपको अपनी फ़ाइलों को हटाने और उन्हें सब कुछ भेजने के लिए क्यों चाहता है।

ऐसा लगता है कि ग्राहक GDPR का उपयोग एक बहाने के रूप में कर रहे हैं और इससे ज्यादा कुछ नहीं। मेरा मतलब है, व्यावहारिक रूप से कोई भी डिजाइन प्रचार सामग्री है और किसी भी संभावित व्यक्तिगत जानकारी - नाम, पता, संपर्क, ईमेल, आदि - प्रचार के माध्यम से सार्वजनिक जानकारी दी गई थी । यह "व्यक्तिगत संग्रहीत डेटा" नहीं है। मेरे विचार से आपके मुवक्किल को यहाँ बहुत डर लग रहा है।

फ़ाइल वितरण के लिए शुल्क। आपके द्वारा भुगतान प्राप्त करने के बाद , फ़ाइलों को भेजें और एक पत्र जो यह समझाता है कि सभी फाइलें आपकी मशीनों और बैकअप से हटा दी जाएंगी और अब आपको क्लाइंट से संबंधित किसी भी फाइल को बरकरार नहीं रखा जाएगा । फिर रसीद की पुष्टि प्राप्त करने के बाद (जब उन्होंने इसके लिए भुगतान किया है) तब सब कुछ हटा दें।

याद रखें, भले ही वे आपको भुगतान करें , आप उन्हें खरीदे और उपयोग किए गए किसी भी फ़ॉन्ट या स्टॉक चित्र को नहीं भेज सकते हैं । उन आम तौर पर करने के लिए लाइसेंस प्राप्त कर रहे आप और उन वस्तुओं को बांटने डाल आप किसी भी लाइसेंस उनसे संबंधित समझौते के उल्लंघन में। क्लाइंट को डिज़ाइनों का समर्थन करने के लिए किसी भी आवश्यक फोंट और छवियों को खरीदने और खरीदने की आवश्यकता होगी।

अगर उन्हें बाद में किसी चीज की जरूरत है या बनाई गई तो यह क्लाइंट की समस्या है । आपको केवल निश्चित होना चाहिए कि आप फ़ाइलों के लिए भुगतान किए गए हैं ।

यदि ग्राहक किसी भी चीज़ के लिए भुगतान नहीं करना चाहते हैं ... तो उन्हें फाइलें न दें, कुछ भी डिलीट न करें । वे आपकी फाइलें हैं । कोई भी बाहरी पार्टी आपको अपनी व्यावसायिक संपत्ति (कानून प्रवर्तन के अलावा) के साथ कुछ भी करने के लिए मजबूर नहीं कर सकती है ।

यदि ग्राहक वफ़ल करना शुरू कर देता है और जुझारू हो जाता है और फ़ाइलों की मांग करता है, तो भुगतान न मिलने तक विनम्रता से मना कर दें।

इससे भी बदतर स्थिति, आप इस ग्राहक को खो देते हैं (जो आप चीजों की आवाज से वैसे भी करने जा रहे हैं), और ग्राहक को लगता है कि उन्हें मामले का कुछ तमाशा करने और मुकदमा या कुछ दर्ज करने की आवश्यकता है। मेरी राय में, सूट में कम संभावना है। हालाँकि, वे इसे एक रणनीति के रूप में उपयोग करने के लिए ला सकते हैं जो आपको वे चाहते हैं। जब मैं एक वकील नहीं हूं , मुझे संदेह है कि वे आपके व्यवसाय की संपत्ति को हटाने के लिए आपको एक मुकदमा जीतेंगे।

संक्षेप में, मेरा रुख होगा:

मैं खुश हूं। सभी फाइलों की कीमत $ X है। एक बार भुगतान प्राप्त हो जाने के बाद, मेरे पास जो कुछ भी है, उसे मैं आगे कर दूंगा और बाद में मुझे यह पता चल जाएगा कि मैंने इसे प्राप्त कर लिया है।

ग्राहक:

हम भुगतान नहीं कर रहे हैं

मुझे:

फिर मुझे क्षमा करें। मैं भुगतान किए बिना फ़ाइलें डिलीवर नहीं करूंगा या कुछ भी डिलीट नहीं करूंगा।

ग्राहक:

हम मुकदमा करेंगे!

मुझे:

ठीक है। आप वह करने के लिए स्वतंत्र हैं जो आपको लगता है कि आवश्यक है। मेरी व्यावसायिक संपत्तियों की कीमत, जैसा कि मैंने [कंपनी के नाम] के लिए जो काम पूरा किया है, वह $ x है। एक बार भुगतान प्राप्त होने के बाद मैं आपके अनुरोध का पालन करने में बहुत खुश हूँ। धन्यवाद।

मैंने अत्यधिक गोपनीय परियोजनाओं पर काम किया है जहाँ कंपनी डेटा निजी था और एक छोटे समूह के भीतर निजी रहने का इरादा था। यह मुझे हमेशा अत्यधिक संवेदनशील डेटा के रूप में प्रस्तुत किया गया था जो "किसी के साथ साझा नहीं किया जाना" है। मैं किसी भी गैर-प्रकटीकरण समझौते, अधिक सामान्य डेटा के बारे में बात नहीं कर रहा हूं जो कि एक परियोजना को पूरा करने के लिए मेरे पास निजी था (ज्यादातर कंपनी वित्तीय)। इन परियोजनाओं के लिए ग्राहकों ने हमेशा परियोजनाओं की शुरुआत में इस मामले को सामने रखा । इसलिए, मुझे गोपनीयता की जानकारी थी। लेकिन यहां तक ​​कि इस तरह से मल्टी मिलियन डॉलर कंपनियों के साथ काम करते हुए, उन्होंने कभी नहीं पूछा कि मैं अपनी फाइलें हटाता हूं और हटाता हूं, वे केवल पूछते हैं कि मैं फाइलों की गोपनीयता बनाए रखता हूं।

अगर ये ग्राहक मुझसे चीजों को हटाने और उन्हें सभी फाइलें भेजने के लिए कहते हैं, तो मैं निश्चित रूप से अनुरोध को समझूंगा । लेकिन मैं निश्चित रूप से उन्हें फाइल डिलीवर करने के लिए चार्ज करूँगा ।

अगर वे चाहते थे कि मैं उन्हें डिलीवर किए बिना फाइलें डिलीट कर दूं, तो मैं शायद समझौता कर लूं ... जैसा कि ... मैं टुकड़ों में से निजी डेटा निकालता हूं लेकिन पोर्टफोलियो सैंपल के रूप में उपयोग के लिए डिजाइन को चातुर्य में रखता हूं। उन्हें परिवर्तित डिज़ाइन की स्वीकृति देते हुए ताकि वे सत्यापित कर सकें कि निजी जानकारी हटा दी गई थी।

काम के लिए किराया : यदि आप काम के लिए किराए के समझौते, या "कर्मचारी" के अधीन हैं, तो वे वास्तव में सब कुछ के मालिक हैं। भुगतान या मुद्दे के बिना उनके अनुरोध का अनुपालन। फाइलें आपकी नहीं हैं।

यह कानूनी सलाह नहीं है इसलिए इसे इस तरह न लें। आप वास्तव में GDPR पर पढ़ना चाह सकते हैं। लेकिन न सिर्फ इसके लिए गूगल सीधे स्रोत पर जाएं:

1. जीडीपीआर के बारे में यूरोपीय आयोग का क्या कहना है
2. वास्तविक विनियमन भी उपलब्ध है

अब जीडीपीआर स्रोत फ़ाइलों को जारी करने के बारे में कुछ नहीं कहता है। इसके बजाय यह स्कोप में उचित है। यह मूल रूप से क्या कहता है:

• व्यक्तिगत डेटा महत्वपूर्ण है
• व्यक्तिगत डेटा संग्रहीत करने के लिए आपके पास एक कारण होना चाहिए
• आपको यह दस्तावेज़ करने की आवश्यकता है कि आप किस डेटा को संग्रहीत करते हैं, क्यों, किस उद्देश्य से और कितने समय तक। ग्राहकों के लिए उपलब्ध दस्तावेज़ के साथ, बस के रूप में संभव है।
• व्यक्ति जिसे व्यक्तिगत डेटा से संबंधित है, को डेटा की समीक्षा करने के लिए कहने का अधिकार है। यह कई तरीकों से किया जा सकता है, लेकिन यह निर्दिष्ट नहीं करता है कि इसका मतलब है कि आपको इसे उसी रूप में देना होगा जिसे आपने इसे संग्रहीत किया है।
• व्यक्ति को व्यक्तिगत डेटा में सुधार करने का अधिकार है
• व्यक्ति को व्यक्तिगत डेटा को हटाने का अनुरोध करने का अधिकार है
• यह आपको यह भी बताता है कि आप अप्रतिबंधित डेटा का उपयोग नहीं कर सकते हैं
  • तो आप इसे केवल तीसरे पक्ष को नहीं दे सकते
• आपको ऐसे डेटा को तीसरे पक्ष से सुरक्षित रखना चाहिए और दुरुपयोग करना चाहिए।

यह सहमति और इतने पर इकट्ठा करने के तरीके के बारे में कुछ बातें भी बताता है।

तो आप ग्राहक आपके द्वारा संग्रहीत डेटा और आपके पास मौजूद डेटा अवधारण की नीति की समीक्षा करने का अनुरोध कर सकते हैं (उदाहरण के लिए भुगतान प्रयोजनों के लिए)। इसके लिए inDesign फ़ाइल होना आवश्यक नहीं है आप संबंधित भागों को पाठ से उदाहरण के लिए कॉपी कर सकते हैं और ग्राहक को भेज सकते हैं उदाहरण के लिए, यदि और केवल यदि यह क्लाइंट डेटा है जिसके साथ शुरू करना है।

लेकिन मैं एक वकील नहीं हूं, मुझे इसके बारे में कुछ नहीं पता है कि यूरोपीय वकील द्वारा अपेक्षाकृत अस्पष्ट परिभाषाओं की व्याख्या कैसे की जाएगी।

पुनश्च: यदि आपको लगता है कि GDPR वास्तव में सख्त और भारी हाथ है। हां, यह उचित बीहड़ौर को वैध बनाने का एक लक्षण है। जब आप कुछ भी कर रहे होते हैं, वैसे ही एक कानून में लिखा जाता है तो सभी प्रकार के उचित व्यवहार खो जाते हैं क्योंकि एक कानून एक बहुत ही कुंद साधन है जो हर किसी के लिए लागू होता है, उचित या नहीं।

जीडीपीआर एक जटिल स्थिति है और यह सब आपके ग्राहक के साथ किस तरह के अनुबंध पर निर्भर करता है। तो यह ज्यादातर InDesign भाग में आने से पहले एक कानूनी मुद्दा है।

इसके अलावा, GDPR कंपनियों के लिए एक प्रमुख कानूनी मुद्दा है और एक जिसमें कई लागत शामिल हैं और GDPR आपको मुफ्त में फाइलें देने के लिए तीसरे पक्ष के प्रदाता के रूप में मजबूर नहीं करता है।

सिद्धांत रूप में वे तीसरे पक्ष द्वारा किए गए मालिकाना काम की रक्षा के लिए कार्रवाई कर सकते हैं, लेकिन व्यवहार में आप दूसरी तरफ फाइलों को सौंपने के लिए एक मूल्य निर्धारित कर सकते हैं।

हालाँकि, यदि आपने एक कर्मचारी के रूप में काम किया है, तो आपके पास खेलने के लिए बहुत कुछ नहीं होगा और आपको अपने व्यक्तिगत कंप्यूटर से सब कुछ आपूर्ति करने और सब कुछ हटाने की आवश्यकता होगी।

यह प्रश्न भी देखें: लॉन्ग टर्म क्लाइंट काम करने वाली फाइलें चाहता है

मुझे समझ नहीं आ रहा है कि GDPR का आपकी फ़ाइलों के साथ क्या संबंध है।

यदि आप व्यक्तिगत डेटा पर काम कर रहे हैं जो आपके क्लाइंट ने प्रदान किया है, तो आप उन फ़ाइलों और अन्य को हटा देते हैं जिनमें डेटा होता है (जैसे काम की फाइलें), और क्लाइंट के लिए एक बयान जारी करें जो आपने किया है।

कुछ भी उत्पन्न होने की स्थिति में यह क्लाइंट की सुरक्षा करता है; वे दिखा सकते हैं कि डेटा नष्ट हो गया था।

उनके लिए फ़ाइलों की आपूर्ति करना बिलकुल अलग बात है और इसके लिए शुल्क की आवश्यकता होती है। या तो अनुबंध में वर्णित है या सिर्फ फाइलों को संभालने के लिए एक पूरी तरह से नए में कहा गया है।

वे दो चीजें एक दूसरे से जुड़ी नहीं हैं। जीडीपीआर में भी, "अच्छा अभ्यास" यह बताता है कि डेटा फ़ाइलों को नष्ट कर दिया जाना चाहिए, प्रदाता को वापस नहीं।

GDPR के तहत आपको पर्सनल डेटा निकालना होगा। यह आपकी व्यावसायिक फ़ाइलों या आपके उत्पादों के बारे में कुछ नहीं कहता है। उन दूर मत देना। आप उन फ़ाइलों को देने के लिए बाध्य नहीं हैं।

आप केवल एकत्र किए गए डेटा का अवलोकन प्रदान करने के लिए बाध्य हैं, यह एक पाठ फ़ाइल हो सकती है जिसमें यह वर्णन किया गया है कि आपके पास कौन सा डेटा है। डेटा अपडेट करने या इसे हटाने का अनुरोध करने पर आप बाध्य हैं।

इसके अलावा, कर कानूनों को मत भूलना। यदि आपको ऑडिटिंग उद्देश्यों के लिए धन प्राप्त हुआ है, तो अधिकांश कर कानूनों के तहत आपको X वर्षों तक डेटा रखना आवश्यक है। जब ऑडिट होता है तो इस जानकारी को हटाना वास्तव में गैरकानूनी हो सकता है।

आपको क्या करना होगा, यह ऑडिट करना है कि आपके पास कौन सी व्यक्तिगत जानकारी ग्राहक के पास है (जो आपके पास पहले से होनी चाहिए)

आपके द्वारा बनाए गए दस्तावेज़ों में व्यक्तिगत डेटा के स्क्रीनशॉट भेजें। आपके पास कौन सा डेटा कहाँ है, इसका सारांश भेजें। उन डेटा की सूची बनाएं जिन्हें आप विधिपूर्वक नहीं हटा सकते हैं (मुद्रित चालान, बैंक खाता अंश आदि) ... लेकिन ऑडिट अवधि समाप्त होने पर उसे हटा दिया जाएगा, तब उसे बताएं। आप ऑडिटिंग सॉफ़्टवेयर में इसे अनॉनिमाइज़ कर सकते हैं, नोट करें कि असली जानकारी ऑडिटिंग के लिए मुद्रित संग्रहीत दस्तावेजों पर है।

निष्कासन अनुरोध का भी दस्तावेजीकरण करें। इसे एक फ़ोल्डर में कहीं मुद्रित करें, निजी इकाई को सूचित करें कि यह एक ऐसा स्थान है जहां उसका विवरण संग्रहीत किया जाएगा, बस इसलिए आप अपने गधे को कवर कर सकते हैं।

याद रखें कि आप डेटा को सीधे हटाने के बजाए उसे अज्ञात कर सकते हैं। इसलिए लेखांकन सॉफ्टवेयर स्थिरता आदि को संरक्षित करने के लिए ईमेलों को @@@ample.com को बदलना ...)