ナレッジベース

2018年5月25日は、欧州連合の一般データ保護規則の施行開始日です。この新しい法律は、EU居住者またはEU内の個人データを扱うビジネスに大きな影響を与えました。もちろん、個人データは営業活動の中心であるため、Pipedriveと私たちのユーザーも、コンプライアンスを確保するために忙しくしています。

この記事では、PipedriveをCRMプラットフォームとして選択した際のデータ関連の役割と責任の概要を提供し、GDPRの価値と要件を遵守するためのPipedriveの取り組みを説明します。

---

Pipedriveのデータプロセッサとして

Pipedriveに連絡先として保存する人々はあなたのデータ主体であり、あなたはこの個人データのデータ管理者と見なされます。私たちのサービス利用規約およびプライバシーポリシーでは、このデータをクライアントデータと呼んでいます。

Pipedriveアプリを使用して顧客を管理することは、あなたがPipedriveをデータプロセッサとして雇い、あなたの代わりに特定の処理活動を実行させることを意味します。

GDPRの第28条によれば、管理者とプロセッサの関係は書面で示される必要があります（同じ条の第9項の下で電子形式は受け入れられます）。

ここで、私たちのデータ処理契約（DPA）、サービス利用規約およびプライバシーポリシーが関係してきます。これらの3つの文書はあなたのデータ処理契約として機能し、あなたが管理する個人データの処理に関してPipedriveに指示を与え、両当事者の権利と責任を定めています。Pipedriveは、データ管理者としてのあなたの指示に基づいてのみ、あなたのクライアントデータを処理します。

最後に、私たちのサービス利用規約の第14.1節を確認して、どのPipedriveの法人があなたの契約上のパートナーであるかを確認することが重要です。

すべてのEU顧客は、エストニアに拠点を置く私たちのEU法人との契約関係を持っています。

---

データ転送

顧客からよく挙がるトピックの一つは、EEA外へのデータ転送です。

GDPRは、その保護範囲外へのデータ移動に対して厳しい要件を定めています。これは自然なことです。そうでなければ、法律がその目的を果たすことは不可能です。

これらのデータ転送要件を満たす責任があるのは誰でしょうか？私たちのEU顧客は私たちのEU法人と法的関係を持っているため、このデータ転送はEEA内に留まります。しかし、もしPipedriveがその後EEA外のサブプロセッサーを利用する場合、私たちの仕事はデータを合法的に転送することを確保することです。

私たちは、これらの転送について完全に透明性を持つために、サブプロセッサーページにサブプロセッサーの最新リストを保持します。このリストでは、どのデータが関与しているか、そしてデータがEEAを離れた後も適切に保護されるようにどのように確保しているかを説明します。

私たちは、第三者サービスプロバイダーがEU-USデータプライバシーフレームワークの下で認証されているか、私たちとのデータ転送に関するEU委員会の標準契約条項に署名していることを確認することで、これを実現しています。

---

Pipedriveはデータ管理者です

さらに、Pipedriveは、私たちのウェブアプリ、モバイルアプリ、およびウェブサイトのユーザーであるあなたに関する個人データのデータ管理者として機能します。

まず第一に、私たちはあなたとの契約を履行するために必要なデータを処理します（GDPR第6条第1項(b)）。

第二に、私たちは法律に基づく義務を果たすためにデータを処理します（GDPR第6条第1項(c)） – これは主に財務データおよびGDPRに基づく説明責任の義務を果たすために必要な情報を含みます。

第三に、私たちはGDPR第6条第1項(f)に従って、私たちの正当な利益のためにあなたの個人データを処理します。

私たちが話している「正当な利益」とは何ですか？

• あなたが新しい生産性のレベルに達するのを助けるためにアプリを改善すること
• あなたのデータとPipedriveのシステムが安全であることを確認すること
• 私たちの製品とその機能の責任あるマーケティング
  

これがEUのデータ保護要件をよりよく理解する助けになれば幸いです。上記に関して質問がある場合は、[email protected]までお気軽にお問い合わせください。私たちはさらに詳しく説明するために最善を尽くします。

---

パイプドライブはGDPRに対して何をしていますか？

ヨーロッパにルーツを持つ会社として、パイプドライブはEU一般データ保護規則がビジネスに与える影響について非常に理解しています。

私たちは、パイプドライブのユーザーとその顧客のプライバシーのニーズを重視しており、そのため、GDPRに沿った個人データを保護するための技術的および組織的措置を実施し、今後も改善を続けていきます。

---

内部プロセス、セキュリティ、およびデータ転送

GDPR準拠の大部分は、手続きが整っており、データプロセスがマッピングされ、監査可能であることを保証することです。したがって、私たちはプライバシー・バイ・デザインの原則に従って機能を構築するために、アプリケーション開発サイクルに要素を追加しました。

私たちがあなたの代わりに処理するクライアントデータへのアクセスは厳しく制限されています。私たちの内部手続きとログは、この点においてGDPRの説明責任要件を満たすことを保証します。

私たちは、第三者サービスプロバイダーのオンボーディングプロセスを確立し、これらの第三者がPipedriveとその顧客がプライバシーとセキュリティに関して持つ高い期待を満たすことを保証するツールを採用しています。

---

主体アクセス要求に応じる準備状況

データ主体の個人データに対する所有権はGDPRの中心です。したがって、私たちはデータ主体からのデータ削除、修正、または転送の要求に応じる準備ができています。

これは、私たちのカスタマーサポートスペシャリストとそれを支援するエンジニアが、あなたの個人データに関するあらゆる問題を助けるために十分に準備されていることを意味します。さらに、あなたが慣れ親しんだ素晴らしいカスタマーサポート体験を提供します。

---

ドキュメント

私たちの 利用規約 と プライバシーポリシー は、透明性を高め、文書がGDPRの要件を満たすように常に改訂されています。これらは私たちとあなたの関係の基盤であるため、私たちはこれらの文書で私たちのコミットメントとあなたの権利を包括的かつオープンに説明しなければなりません。

さらに、私たちはGDPRの説明責任要件に準拠できるように、すべてのデータ処理活動を常にマッピングしています。

---

トレーニング

上記のすべては、会社内での広範なトレーニング活動によって支えられており、私たちが導入したGDPR準拠のプロセスが遵守されることを保証しています。例えば、データプライバシーとセキュリティのセッションは、私たちのオンボーディングプロセスの不可欠な部分であり、各部門は個人データに関わる仕事に合わせたトレーニングを受けます。

Pipedriveは、GDPR要件を満たすことが単にリストのチェックボックスを埋めること以上のものであると固く信じています。私たちにとって、GDPRは個人のプライバシーを尊重し、個人データを扱う責任を持つライフスタイルを表しています。