ナレッジベース

2018年5月25日は、欧州連合の一般データ保護規則の施行開始日です。この新しい法令は、EUの居住者やEU内で個人データを取り扱う事業者に大きな影響を与えています。当然、個人データは営業活動の中心であり、Pipedriveとユーザーは、私たちが法令を遵守していることを確認するために忙しかったです。

この記事では、CRMプラットフォームとしてPipedriveを選択した場合のデータに関する役割と責任の概要を提供し、GDPRの価値観と要件を守るためのPipedriveの取り組みを説明します。

データプロセッサーとしてのPipedrive

Pipedriveに格納された連絡先は、データ対象と見なされ、この個人データのデータコントローラーとしてあなたが考えられます。弊社の利用規約とプライバシーポリシーでは、このデータをクライアントデータと呼んでいます。

Pipedriveアプリを使用して顧客を管理することは、Pipedriveをデータプロセッサーとして要約し、あなたの代わりに特定の処理活動を行うことを意味します。

GDPR第28条によると、コントローラーとプロセッサーの間の関係は執筆する必要があります（同一条項の（9）項において、電子形式は受け入れ可能です）。

これは、弊社のデータ処理追加契約（DPA）、利用規約およびプライバシーポリシーが必要となります。これらの3つの文書は、あなたが制御する個人データの処理に関してPipedriveに対して与えている指示を示し、両当事者の権利と責任を確立するデータ処理契約として機能します。Pipedriveは、データコントローラーとしてのあなたの指示に基づいて、クライアントデータを処理します。

最後に、契約上のパートナーであるPipedriveエンティティはどれかを確認するために、弊社の利用規約の14.1節を確認することが重要です。

すべてのEU顧客は、エストニアに拠点を置く当社のEUエンティティと契約関係を持っています。

データ転送

お客様から頻繁に質問されるトピックの1つが、EEA外へのデータ転送です。

GDPRは、データを保護範囲外に移動する際の厳格な要件を定めています。これは当然のことです-そうでなければ、法的な目的を果たすことは不可能です。

これらのデータ転送要件を満たす責任は誰にあるのでしょうか？私たちのEUの顧客は、EUの組織との法的関係を持っているため、このデータ転送はEEA内にとどまります。しかし、Pipedriveがその後、EEA外のサブプロセッサーと関わることがあれば、データを合法的に転送する責任が私たちにあります。

私たちは、これらの転送に関して完全な透明性を保つために、サブプロセッサーのページにサブプロセッサーの最新リストを掲載します。このリストには、関与しているデータとデータがEEAを離れてからも適切に保護されている方法も説明されています。

これは、当社の第三者サービスプロバイダーがEU-USデータプライバシーフレームワークの下で認定されたか、EU委員会のデータ転送に関する標準契約条項に署名したことを確認することで実珅しています。

データコントローラーとしてのPipedrive

さらに、Pipedriveは、Webアプリ、モバイルアプリ、およびウェブサイトのユーザーであるあなたから収集した個人データに関して、データコントローラーとして行動します。

まず第一に、契約の履行に必要なデータを処理しています（GDPR第6条1項b号）。

第二に、GDPR第6条1項c号に基づく法的義務の達成のためにデータを処理しています。これには主に、GDPRの説明責任の義務を果たすために必要な財務データや情報が含まれます。

第三に、GDPR第6条1項f号に基づいて、あなたの個人データを当社の合法的な利益のために処理しています。

私たちが話している「合法的な利益」とは何ですか？

• アプリの改善を通じて生産性を高めること
• データとPipedriveのシステムが安全かつ安全であることを確認すること
• 製品とその機能の責任あるマーケティング
  

この情報がEUのデータ保護要件の遵守に役立つことを願っています。上記に関する質問がありましたら、[email protected]までお気軽にお問い合わせください。できる限り詳しく説明させていただきます。

PipedriveはGDPRのために何をしていますか？

ヨーロッパにルーツを持つ企業として、PipedriveはEU一般データ保護規則が事業に与える影響を非常によく理解しています。

Pipedriveのユーザーとその顧客のプライバシーのニーズを理解しており、そのためにGDPRに沿った技術的および組織的対策を実施しており、引き続き改善していきます。

内部プロセス、セキュリティ、およびデータ転送

GDPRの一部は、手順が整備され、データ処理がマッピングされ、監査可能であることを確認することです。そのため、我々はアプリケーション開発サイクルに要素を追加し、プライバシー・バイ・デザインの原則に基づいて機能を構築しています。

お客様のデータを処理する際にアクセスすることは厳密に制限されています。内部手順とログにより、この点でGDPRの説明責任要件を満たすことが保証されています。

第三者サービスプロバイダーを導入し、Pipedriveとその顧客がプライバシーとセキュリティに関して持つ高い期待に準拠するツールを採用するプロセスを確立しています。

主体アクセス要求への準備

データ主体の個人データ所有権はGDPRの中心です。したがって、データ主体からのデータの削除、変更、または転送の要求に対応する準備が整っています。

つまり、当社のカスタマーサポートスペシャリストと彼らを支援するエンジニアは、従来お客様が慣れ親しんでいる素晴らしいカスタマーサポート体験を提供するだけでなく、個人データに関連するすべての問題でお手伝いする準備が整っています。

ドキュメンテーション

私たちの利用規約およびプライバシーポリシーは、透明性を高め、文書がGDPR要件を満たすように定期的に見直されています。これらはあなたとの関係の基礎となるものですので、私たちはこれらの文書で私たちの約束とあなたの権利を包括的かつ公開に説明しなければなりません。

さらに、私たちは常にすべてのデータ処理活動をマッピングして、GDPRの説明責任要件を遵守できるよう努力しています。

トレーニング

上述のすべては、当社内での幅広いトレーニング活動によって支えられており、導入したGDPRに準拠したプロセスが守られていることを確認しています。たとえば、データプライバシーとセキュリティに関するセッションは、当社の新入社員のプロセスの重要な部分であり、各部署は個人データを扱う業務に合わせて訓練を受けています。

Pipedriveは、GDPR要件を満たすことは、リストのチェックボックスを入れるだけ以上のことだと確信しています。当社にとって、GDPRは個人のプライバシーを尊重し、個人データを取り扱う責任を持つライフスタイルを表しています。