기술 자료

2018년 5월 25일은 유럽 연합의 일반 데이터 보호 규정 시행이 시작된 날입니다.

이 새로운 법률은 EU 거주자에 관한 개인정보를 취급하거나 EU 내에서 사업을 영위하는 모든 사람에게 상당한 영향을 미쳤습니다. 물론 개인정보는 영업 업무의 핵심이기 때문에 Pipedrive와 우리 사용자들 또한 규정 준수를 위해 분주히 노력해왔습니다.

이 문서는 여러분이 Pipedrive를 CRM 플랫폼으로 선택했을 때의 데이터 관련 역할과 책임에 대한 개요를 제공하며, GDPR의 가치와 요구 사항을 충족하기 위한 Pipedrive의 노력에 대해 설명합니다.

데이터 처리자로서의 Pipedrive

Pipedrive에 연락처로 저장하는 사람들은 귀하의 데이터 주체이며, 이 개인 데이터에 대해서는 귀하가 데이터 컨트롤러(관리자)로 간주됩니다. 당사의 서비스 약관 및 개인정보처리방침에서는 이 데이터를 클라이언트 데이터(Pipedrive 내에서 귀하가 처리하는 데이터)라고 부릅니다.

Pipedrive 앱을 사용해 고객을 관리한다는 것은 특정 처리 활동을 귀하를 대신하여 수행하도록 Pipedrive를 데이터 처리자로 지정했다는 뜻입니다.

GDPR 제28조에 따르면, 컨트롤러와 처리자 간의 관계는 서면으로 수립되어야 하며(동 조 제9항에 따라 전자 형식도 허용됩니다).

여기서 당사의 데이터 처리 추가 합의서(DPA), 서비스 약관 및 개인정보처리방침이 적용됩니다. 이 세 문서는 귀하가 Pipedrive에 제공하는 개인 데이터 처리에 관한 지침을 명시하고 양측의 권리와 책임을 규정하는 귀하의 데이터 처리 계약 역할을 합니다. 데이터 처리자인 Pipedrive는 데이터 컨트롤러로서의 귀하의 지침에 따라서만 귀하의 클라이언트 데이터를 처리합니다.

마지막으로, 귀하의 계약 상대가 어떤 Pipedrive 법인인지 확인하려면 당사의 서비스 약관 제14.1항을 확인하는 것이 중요합니다.

모든 EU 고객은 에스토니아에 기반을 둔 당사의 EU 법인과 계약 관계를 맺습니다.

데이터 전송

고객과의 논의에서 자주 제기되는 주제 중 하나는 EEA(유럽경제지역) 외부로의 데이터 전송입니다.

GDPR(일반 데이터 보호 규정)은 보호 범위를 벗어난 지역으로 데이터를 전송할 때 엄격한 요건을 규정합니다. 이는 당연한 일입니다 – 그렇지 않으면 법이 그 목적을 달성할 수 없기 때문입니다.

이러한 데이터 전송 요건을 충족할 책임은 누구에게 있습니까? 당사의 EU 고객은 당사의 EU 법인과 법적 관계를 맺고 있으므로 이러한 데이터 전송은 EEA 내에서 이루어집니다. 그러나 Pipedrive가 이후에 EEA 외부의 서브프로세서(하위 처리업체)를 이용하는 경우, 당사는 데이터가 합법적으로 전송되도록 보장할 책임이 있습니다.

우리는 이러한 전송에 대한 완전한 투명성을 보장하기 위해 당사 하위 처리업체 목록을 하위 처리업체 페이지에 최신 상태로 유지합니다. 이 목록에는 어떤 데이터가 관련되는지와 데이터가 EEA를 벗어난 이후에도 어떻게 적절히 보호되는지에 대한 설명도 포함됩니다.

우리는 제3자 서비스 제공업체들이 EU‑US 데이터 프라이버시 프레임워크에 따라 인증을 받았거나 당사와의 데이터 전송을 위한 EU 집행위원회의 표준 계약 조항에 서명했는지 확인함으로써 이를 수행합니다. 다만, 당사는 데이터 전송 메커니즘으로서 DPF에 의존하지 않는다는 점을 유의해 주시기 바랍니다.

우리는 지역이나 국가 간에 데이터를 전송할 때 적용 가능한 데이터 개인정보 보호 법률 및 규정을 준수하며, 규정 준수와 고객 데이터 프라이버시 보호를 보장하기 위해 데이터 암호화 및 계약적 합의(DPAs, 해당되는 경우 SCCs)와 같은 적절한 보호조치를 구현합니다.

데이터 처리책임자로서의 Pipedrive

또한, Pipedrive는 당사의 웹 앱, 모바일 앱 및 웹사이트 사용자인 귀하에 대해 수집하는 개인 데이터의 데이터 처리책임자(데이터 컨트롤러)로서 역할을 합니다.

무엇보다도, 당사는 귀하와의 계약을 이행하기 위해 필요한 데이터를 처리합니다 (GDPR Article 6(1)(b)).

둘째, 당사는 법적 의무를 이행하기 위해 데이터를 처리합니다 (GDPR Article 6(1)(c)). 이는 주로 재무 데이터와 GDPR에 따른 책임성 의무를 이행하기 위해 필요한 정보를 포함합니다.

셋째, 당사는 GDPR Article 6(1)(f)에 따라 정당한 이익(legitimate interests)을 위해 귀하의 개인 데이터를 처리합니다.

여기서 말하는 '정당한 이익'은 무엇인가요?

• 앱을 개선하여 귀하의 생산성을 높이는 것
• 귀하의 데이터와 Pipedrive 시스템의 안전성과 보안을 보장하는 것
• 제품 및 기능에 대한 책임 있는 마케팅

이 정보가 EU의 데이터 보호 요건을 보다 효과적으로 이해하고 대응하는 데 도움이 되기를 바랍니다.

Pipedrive는 GDPR을 준수하기 위해 무엇을 하고 있습니까?

유럽에 뿌리를 둔 회사로서 Pipedrive는 EU 일반 데이터 보호 규정(GDPR)이 기업에 미치는 영향을 잘 이해하고 있습니다.

우리는 Pipedrive 사용자와 그 고객의 프라이버시 요구를 중요하게 여기며, 이에 따라 Pipedrive가 처리하는 개인 데이터를 보호하기 위해 GDPR에 부합하는 기술적·조직적 조치를 시행했으며 앞으로도 지속적으로 개선해 나갈 것입니다.

내부 프로세스, 보안 및 데이터 전송

GDPR 준수의 중요한 부분은 절차가 마련되고 데이터 처리 과정이 도식화되어 감사 가능하도록 하는 것입니다. 따라서 당사는 애플리케이션 개발 주기에 요소들을 통합하여 개인정보 보호 중심 설계 및 보안 중심 설계 원칙에 따라 기능을 구축하고 있습니다.

귀하를 대신하여 처리하는 고객 데이터에 대한 모든 접근은 엄격히 제한됩니다. 당사의 내부 절차와 로그는 이와 관련된 GDPR 책임성 요구사항을 충족하도록 보장합니다.

당사는 제3자 서비스 제공업체를 온보딩하고, 이러한 제3자가 Pipedrive 및 고객들이 개인정보 보호와 보안에 대해 갖는 높은 기대를 충족하는지 확인하는 도구를 채택하는 프로세스를 마련했습니다.

정보주체의 접근 요청 준수를 위한 준비

정보주체가 자신의 개인정보에 대한 권리를 가진다는 원칙은 일반 데이터 보호 규정(GDPR)의 핵심입니다. 따라서 당사는 정보주체의 개인정보 삭제, 수정 또는 이전 요청에 대응할 준비가 되어 있습니다.

이는 고객 지원 전문가들과 그들을 보조하는 엔지니어들이 개인정보와 관련된 모든 문제에 대해 도움을 드릴 수 있도록 철저히 준비되어 있으며, 여러분이 익숙한 훌륭한 고객 지원 경험도 제공한다는 것을 의미합니다.

문서

Our 서비스 약관 및 개인정보 처리방침은 투명성을 높이고 GDPR 요구사항을 준수하기 위해 정기적으로 업데이트됩니다.

이 문서들은 귀하와의 관계의 기반을 이루므로, 당사는 당사의 약속과 귀하의 권리에 대해 포괄적이고 투명한 설명을 제공해야 합니다.

또한 우리는 GDPR의 책임성 요구사항을 준수하기 위해 모든 데이터 처리 활동을 지속적으로 파악하고 있습니다.

교육

위의 모든 내용은 회사 내 광범위한 교육 활동으로 뒷받침되며, 우리가 마련한 GDPR 준수 프로세스들이 준수되도록 보장합니다.

당사 직원들은 개인정보 보호 및 보안에 관한 정기적인 교육과 인식 제고 프로그램을 수강하여 모범 사례, 현재의 위협 및 개인정보를 보호하는 방법에 대해 숙지하도록 하고 있습니다. 예를 들어, 데이터 개인정보 보호 및 보안 세션은 온보딩 과정의 필수 요소이며, 각 부서는 개인정보와 관련된 업무에 맞춘 맞춤형 교육을 받습니다.

Pipedrive는 GDPR 요구사항을 충족하는 것이 단순히 항목을 체크하는 것 이상이라고 굳게 믿고 있습니다. 우리에게 GDPR은 개인의 프라이버시를 존중하고 개인정보 처리에 책임을 지겠다는 약속을 의미합니다.