TL:DR 客户对 GDPR 所涵盖的数据类型存在根本性的误解，尽管文件中可能包含它所涵盖的内容。您不应该将文件发送给他们，尽管您确实需要回复其中的任何个人信息。

我正在为我的公司做一些数据保护工作，所以我已经阅读了很多关于这方面的内容。我绝对不是律师，所以应该加点盐。也就是说，这个例子有一个相当清晰正确的行动方案：

• GDPR 仅涵盖与个人相关的个人信息https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

• 这意味着您的设计中唯一受 GDPR 影响的是个人信息

• 因此，您的回复应仅涵盖您的设计中包含的个人信息。您是否在他们的邮箱中输入了个人电子邮件地址？文中是否有客户名称或地址？有客户或一般人的照片吗？如果是这样，请向他们发送一封电子邮件，说明您在设计中找到的个人信息，并询问他们是否希望您删除这些特定位

• 如果他们同意，请删除电子邮件地址/任何姓名/客户照片以及您能找到的任何其他个人信息。

• 请记住，还要从您拥有的任何备份以及文件的历史记录中删除它。如果您感觉友好，您可能想指出这会使文件更难为他们使用

• 他们绝对不能强迫您根据 GDPR 交出文件的所有权。除非合同中另有说明，否则它们仍然是您的知识产权。

编辑：忘记了重要的一点。这仅适用于提出请求的人的个人数据。其他任何东西，甚至是来自他们一名员工的数据，都不包括在内，您可能不能也不应该交出任何数据。他们的员工将不得不对他们的个人数据提出自己的要求。但是，为了保护自己，可能值得查看并删除您持有的任何不必要的个人信息。

希望它有帮助！

客户为什么要您删除文件并将所有内容发送给他们并不重要。

在我看来，客户以 GDPR 为借口，仅此而已。我的意思是，实际上任何设计都是宣传材料，任何可能的个人信息——姓名、地址、联系方式、电子邮件等——都是通过促销本身公开的信息。这不是“个人存储数据”。在我看来，你的客户在这里非常粗略。

文件传送收费。收到付款后，发送文件和一封信，说明所有文件将从您的机器和备份中删除，并且一旦您被通知他们收到文件，您将不再保留与客户相关的任何文件。然后在收到收据确认后进入并实际删除所有内容（因为他们已经为此支付了费用）。

请记住，即使他们向您付款，您也不能向他们发送您购买和使用的任何字体或库存图片。这些通常是许可给您的，共享这些项目会使您违反与它们相关的任何许可协议。客户需要去购买任何必要的字体和图像来支持设计。

如果他们以后需要更改或创建的东西，这是客户的问题。您只需要确定您已为这些文件付费。

如果客户不想支付任何费用......不要给他们文件，不要删除任何东西。它们是您的文件。任何外部方都不能强迫您对您的商业资产做任何事情（执法除外）。

如果客户开始胡言乱语并变得好战并要求提供文件，除非收到付款，否则只需礼貌地拒绝即可。

更糟糕的情况是，您失去了这个客户（从事情的声音来看，无论如何您都会这样做），并且客户认为他们需要对此事进行一些奇观并提起诉讼或其他事情。在我看来，这套西装的可能性很小。但是，他们可能会将其作为一种策略来欺负您做他们想做的事。虽然我不是律师，但我怀疑他们会赢得诉讼，迫使您移除您的商业资产。

简而言之，我的立场是：

我很高兴。所有文件的价格是 $X。收到付款后，我将转发我拥有的所有内容，然后在我知道您已收到付款后将其全部从我的系统中删除。

客户：

我们不付钱

我：

那我很抱歉。我不会在没有付款的情况下交付文件或删除任何内容。

客户：

我们要起诉！

我：

好的。你可以自由地做你认为必要的事情。我的商业资产与我为 [公司名称] 完成的工作相关的价格是 $x。收到付款后，我很高兴满足您的要求。谢谢你。

我参与过高度保密的项目，其中公司数据是私有的，并打算在一个小组内保持私有。这总是作为高度敏感的数据呈现给我，“不与任何人共享”。我不是在谈论任何保密协议，而是我为了完成一个项目而了解的更一般的数据（主要是公司财务）。这些项目的客户总是在项目开始时就提出这个问题。所以，我意识到了机密性。但即使以这种方式与价值数百万美元的公司打交道，他们也从未要求我删除和删除我的文件，他们只是要求我维护文件的隐私。

如果这些客户要我删除东西并将所有文件发送给他们，我当然会理解这个请求。但我当然也会向他们收取交付文件的费用。

如果他们只是想让我删除文件而不交付文件，我可能会协商解决……就像……我从碎片中删除私人数据，但保持设计完整，以用作投资组合样本。让他们批准更改的设计，以便他们可以验证私人信息已被删除。

受雇工作：如果您签订了受雇工作协议或“雇员”，那么他们实际上拥有一切。满足他们的要求，无需付款或发出问题。文件不是你的。

这不是法律建议，所以不要这样认为。您实际上可能想阅读 GDPR。但不要只是谷歌它直接去源：

1. 欧盟委员会对 GDPR 的看法
2. 实际规定也可以

现在 GDPR 并没有提及发布源文件。相反，它的范围相当合理。它基本上说的是：

• 个人资料很重要
• 您需要有理由存储个人数据
• 您需要记录您存储的数据、原因、目的和时间。尽可能简单地为您的客户提供文档。
• 与个人数据有关的人有权要求审查数据。这可以通过多种方式完成，但它没有指定这意味着您需要以存储它的确切形式提供它。
• 个人有权更正个人资料
• 个人有权要求删除个人资料
• 它还告诉你不能无限制地使用数据
  • 所以你不能把它交给第三方
• 您必须保护此类数据免受第三方和滥用。

它还解决了一些关于如何收集同意等的问题。

因此，您的客户可以请求查看您存储的数据以及您拥有的数据保留政策（例如用于支付目的）。这不一定是 inDesign 文件，例如，您可以从文本中复制相关部分并将其发送给客户端，例如，当且仅当它是客户端数据开始时。

但我不是律师，我对欧洲律师如何解释相对模糊的定义几乎一无所知。

PS：如果你认为 GDPR 真的很严格和严厉。是的，这只是必须使合理行为合法化的症状。当你本来应该做的事情被写入法律时，各种合理的行为都会丢失，因为法律是一种非常生硬的工具，适用于范围内的每个人，无论是否合理。

GDPR 是一个复杂的情况，这完全取决于您与客户签订的合同类型。因此，在进入 InDesign 部分之前，这主要是一个法律问题。

此外，GDPR 是公司的主要法律问题，涉及多种成本，GDPR 不会强迫您作为第三方提供商免费提供文件。

理论上，他们可能会采取行动保护第三方完成的专有工作，但实际上，您可以为移交文件设定价格。

但是，如果您作为员工从事这项工作，您可能不会有太多可玩的东西，并且需要提供所有东西并从您的个人计算机中删除所有东西。

另请参阅此问题：长期客户想要工作文件