Kunnskapsbase

25. mai 2018 markerer starten på håndhevelsen av Den europeiske unionens generelle personvernforordning. Denne nye lovgivningen har hatt betydelig innvirkning på alle som driver virksomhet som innebærer håndtering av personopplysninger om EU-borgere eller innen EU. Naturlig nok er personopplysninger kjernen i salgsarbeidet, så Pipedrive og våre brukere har også vært travelt opptatt med å sikre at vi er i samsvar.

Denne artikkelen gir en oversikt over de datarertede rollene og ansvar når du har valgt Pipedrive som ditt CRM-plattform og vil forklare Pipedrive sine innsats for å leve opp til verdiene og kravene i GDPR.

Pipedrive som databehandler

Personene du lagrer i Pipedrive som kontakter er dine registrerte, og du regnes som databehandler for disse personopplysningene. I våre Servicevilkår og Personvernerklæring refererer vi til disse dataene som kundedata.

Ved å bruke Pipedrive-appen til å administrere kundene dine betyr det at du har engasjert Pipedrive som databehandler for å utføre visse behandlingsaktiviteter på dine vegne.

I henhold til artikkel 28 i GDPR må forholdet mellom databehandler og databehandler avtales skriftlig (elektronisk form er akseptabel i henhold til underavsnitt (9) i samme artikkel).

Det er her vår Databehandlingstillegg (DPA), Servicevilkår og Personvernerklæring kommer inn. Disse tre dokumentene fungerer som din databehandlingsavtale, som angir instruksjonene du gir til Pipedrive om behandling av personopplysningene du kontrollerer, og etablerer rettigheter og ansvar for begge parter. Pipedrive vil kun behandle kundedataene dine basert på instruksjonene dine som databehandler.

Til slutt er det avgjørende å sjekke avsnitt 14.1 i våre Servicevilkår for å se hvilken Pipedrive-enhet som er din kontraktpartner.

Alle EU-kunder har et kontraktsmessig forhold til vår EU-enhet, basert i Estland.

Dataoverføringer

Et tema som ofte kommer opp med kunder er dataoverføringer utenfor EØS.

GDPR fastsetter strenge krav for flytting av data utenfor sitt beskyttelsesområde. Dette er bare naturlig - ellers ville det være umulig for loven å oppfylle sitt formål.

Hvem er ansvarlig for å oppfylle disse kravene til dataoverføring? Siden våre EU-kunder har et juridisk forhold til vår EU-enhet, forblir denne dataoverføringen innenfor EØS. Imidlertid, hvis Pipedrive senere engasjerer underprosessorer utenfor EØS, er det vår jobb å sikre at vi overfører dataene lovlig.

Vi vil holde en oppdatert liste over underprosessorer på vår Underprosessorer side for å være fullstendig åpne om disse overføringene. Denne listen vil også forklare hvilke data som er involvert og hvordan vi har sørget for at dataene er tilstrekkelig beskyttet selv etter at de forlater EØS.

Vi gjør dette ved å sørge for at våre tredjeparts tjenesteleverandører enten har sertifisert seg under EU-US Data Privacy Framework eller signert EU-kommisjonens standard kontraktsvilkår for dataoverføringer med oss.

Pipedrive som datakontroller

I tillegg fungerer Pipedrive som datakontroller for personopplysningene vi samler om deg, brukeren av vår webapp, mobilapper og nettside.

Først og fremst behandler vi data som er nødvendige for at vi skal kunne oppfylle vår kontrakt med deg (GDPR artikkel 6(1)(b)).

For det andre behandler vi data for å oppfylle våre forpliktelser i henhold til loven (GDPR artikkel 6(1)(c)) – dette omfatter primært finansielle data og informasjon som vi trenger for å oppfylle våre ansvarlighetsforpliktelser i henhold til GDPR.

For det tredje behandler vi dine personopplysninger for våre legitime interesser i tråd med GDPR artikkel 6(1)(f).

Hva er disse "legitime interessene" vi snakker om?

• Forbedre appen for å hjelpe deg å nå nye nivåer av produktivitet
• Sørge for at dine data og Pipedrives systemer er trygge og sikre
• Ansvarlig markedsføring av vårt produkt og dets funksjoner
  

Forhåpentligvis hjelper dette deg med å navigere bedre i EUs krav til databeskyttelse. Hvis du har spørsmål angående det ovennevnte, er du velkommen til å kontakte oss på support@pipedrive.com, og vi vil gjøre vårt beste for å forklare ting nærmere.

Hva gjør Pipedrive for GDPR?

Som et selskap med røtter i Europa, er Pipedrive veldig oppdatert med implikasjonene som den europeiske personvernforordningen har for bedrifter.

Vi setter pris på personvernbehovene til Pipedrive-brukere så vel som deres kunder og har derfor implementert - og vil fortsette å forbedre - tekniske og organisatoriske tiltak i tråd med GDPR for å sikre personopplysningene som behandles av Pipedrive.

Interne prosesser, sikkerhet og datatransporter

En stor del av GDPR-overholdelse er å sikre at prosedyrer er på plass og at data prosesser er kartlagt og kan revideres. Derfor har vi lagt til elementer i vår applikasjonsutviklingssyklus for å bygge funksjoner etter prinsippene om Personvern som standard.

Enhver tilgang til klientdata som vi behandler på dine vegne er strengt begrenset. Våre interne prosedyrer og logger sikrer at vi oppfyller GDPR-ansvarskravene i denne sammenhengen.

Vi har etablert en prosess for å ta inn tredjeparts tjenesteleverandører og ta i bruk verktøy som sikrer at disse tredjepartene oppfyller de høye forventningene som Pipedrive og dens kunder har når det gjelder personvern og sikkerhet.

Forberedthet til å etterkomme forespørsler om tilgang fra emnet

Eierskap av personopplysninger til registrerte er kjernen i GDPR. Vi er derfor klare til å svare på forespørsler fra registrerte om å slette, endre eller overføre deres data.

Dette betyr at våre kundestøttespesialister og ingeniørene som hjelper dem er godt forberedt på å hjelpe deg med alle spørsmål som angår dine personopplysninger, i tillegg til å gi den fantastiske kundeopplevelsen du er vant til.

Dokumentasjon

Våre tjenestevilkår og personvernregler blir kontinuerlig revidert for å øke gjennomsiktigheten og sikre at dokumentene oppfyller GDPR-kravene. Ettersom dette er grunnlaget for vårt forhold til deg, må vi grundig og åpent forklare våre forpliktelser og dine rettigheter i disse dokumentene.

I tillegg kartlegger vi kontinuerlig alle våre data-behandlingsaktiviteter for å kunne overholde GDPR-kravene om ansvarlighet.

Trening

Alt det ovennevnte støttes av omfattende opplæringsinnsats i selskapet, slik at de GDPR-vennlige prosessene vi har implementert, følges. For eksempel er personvern- og sikkerhetssesjoner en viktig del av vår opplæringsprosess, og hver avdeling får opplæring skreddersydd for sitt arbeid med personopplysninger.

Pipedrive er fast overbevist om at oppfyllelse av GDPR-kravene er mye mer enn bare å huke av i en liste. For oss representerer GDPR en livsstil med respekt for enkeltpersoners personvern og ansvar i behandlingen av personopplysninger.