Baza wiedzy

25 maja 2018 roku rozpoczęła się egzekwowanie Ogólnego Rozporządzenia o Ochronie Danych (GDPR) Unii Europejskiej. Nowe przepisy znacząco wpłynęły na wszystkich, których działalność dotyczy przetwarzania danych osobowych mieszkańców UE lub w UE. Naturalnie, dane osobowe stanowią istotę pracy w sprzedaży, dlatego Pipedrive i nasi użytkownicy również pracowali nad zapewnieniem zgodności.

Ten artykuł zawiera przegląd ról i odpowiedzialności związanych z danymi, gdy wybierzesz Pipedrive jako swoją platformę CRM, oraz wyjaśni wysiłki Pipedrive w zakresie spełnienia wartości i wymagań GDPR.

Pipedrive jako przetwarzający dane

Osoby, które przechowujesz w Pipedrive jako kontakty, są Twoimi podmiotami danych, a Ty jesteś uważany za kontrolera danych osobowych. W naszych Warunkach Korzystania i Polityce Prywatności, odnosimy się do tych danych jako dane klientów.

Używanie aplikacji Pipedrive do zarządzania klientami oznacza, że zaangażowałeś Pipedrive jako przetwarzającego danych do przeprowadzenia określonych działań przetwarzania w Twoim imieniu.

Zgodnie z artykułem 28 RODO, relacja między kontrolerem a przetwarzającym musi być zawarta na piśmie (forma elektroniczna jest akceptowalna zgodnie z ustępem (9) tego samego artykułu).

To właśnie nasz Aneks do Przetwarzania Danych (DPA), Warunki Korzystania i Polityka Prywatności wchodzą w grę. Te trzy dokumenty stanowią Twój umowę przetwarzania danych, określając instrukcje, które przekazujesz Pipedrive dotyczące przetwarzania danych osobowych, które kontrolujesz, oraz ustanawiają prawa i obowiązki obu stron. Pipedrive będzie przetwarzać Twoje dane klientów tylko na podstawie Twoich instrukcji jako kontrolera danych.

Wreszcie, ważne jest sprawdzenie § 14.1 naszych Warunków Korzystania, aby sprawdzić, która jednostka Pipedrive jest Twoim partnerem umownym.

Wszyscy klienci z UE mają relację umowną z naszą jednostką UE, z siedzibą w Estonii.

Transfer danych

Jednym z często poruszanych tematów przez klientów są transfery danych poza obszar EOG.

RODO ustanawia rygorystyczne wymagania dotyczące przenoszenia danych poza swój zakres ochrony. Jest to zrozumiałe - w przeciwnym razie byłoby niemożliwe spełnienie celu prawa.

Kto odpowiada za spełnienie tych wymagań dotyczących transferu danych? Ponieważ nasi klienci z UE mają relację prawną z naszą jednostką UE, ten transfer danych pozostaje wewnątrz EOG. Jednakże, jeśli Pipedrive zatrudnia później podwykonawców spoza EOG, to naszym obowiązkiem jest zapewnienie, że przenosimy dane zgodnie z prawem.

Będziemy prowadzić aktualną listę podwykonawców na naszej stronie Podwykonawców, aby w pełni przejrzysto informować o tych transferach. Lista ta wyjaśni również, jakie dane są zaangażowane i w jaki sposób zapewniliśmy, że dane są odpowiednio chronione nawet po opuszczeniu EOG.

Robimy to poprzez zapewnienie, że nasi dostawcy usług zewnętrznych uzyskali certyfikat zgodności z Ramowaniem Prywatności Danych UE-USA lub podpisali standardowe klauzule umowne Komisji UE dotyczące transferu danych z nami.

Pipedrive jako administrator danych

Dodatkowo, Pipedrive działa jako administrator danych osobowych, które zbieramy o Tobie, użytkowniku naszej aplikacji internetowej, aplikacji mobilnych i strony internetowej.

Po pierwsze, przetwarzamy dane konieczne do wykonania umowy z Tobą (RODO artykuł 6(1)(b)).

Po drugie, przetwarzamy dane w celu spełnienia naszych obowiązków wynikających z prawa (RODO artykuł 6(1)(c)) – dotyczy to przede wszystkim danych finansowych i informacji, których potrzebujemy do spełnienia naszych obowiązków sprawozdawczych wynikających z RODO.

Po trzecie, przetwarzamy Twoje dane osobowe w ramach naszych uzasadnionych interesów zgodnie z RODO artykuł 6(1)(f).

Jakie są te "uzasadnione interesy", o których mówimy?

• Poprawa aplikacji w celu zwiększenia Twojej produktywności
• Zapewnienie bezpieczeństwa Twoich danych i systemów Pipedrive
• Odpowiedzialny marketing naszego produktu i jego funkcji
  

Mam nadzieję, że to pomoże Ci lepiej zrozumieć wymagania dotyczące ochrony danych w UE. Jeśli masz jakieś pytania dotyczące powyższego, zapraszamy do kontaktu pod adresem support@pipedrive.com, a zrobimy wszystko, aby wyjaśnić sprawy bardziej szczegółowo.

Czym jest Pipedrive dla RODO?

Jako firma z korzeniami w Europie, Pipedrive doskonale rozumie konsekwencje, jakie dla firm ma Rozporządzenie Ogólne o Ochronie Danych osobowych (RODO) UE.

Doceniamy potrzeby prywatności użytkowników Pipedrive oraz ich klientów i dlatego zaimplementowaliśmy - i będziemy dalej doskonalić - techniczne i organizacyjne środki zgodne z RODO w celu ochrony danych osobowych przetwarzanych przez Pipedrive.

Wewnętrzne procesy, bezpieczeństwo i transfer danych

Dużą częścią zgodności z RODO jest zapewnienie, że procedury są wdrożone, a procesy danych są zmapowane i podlegają audytowi. Dlatego w naszym cyklu rozwoju aplikacji dodaliśmy elementy budowania funkcji zgodnie z zasadami Privacy by Design.

Dostęp do danych klienta, które przetwarzamy w Państwa imieniu, jest ścisłe ograniczony. Nasze wewnętrzne procedury i logi zapewniają, że spełniamy wymagania RODO dotyczące odpowiedzialności w tym zakresie.

Ustanowiliśmy proces wprowadzania dostawców usług zewnętrznych i przyjmowania narzędzi, które zapewniają, że te strony trzecie spełniają wysokie oczekiwania, jakie Pipedrive i jego klienci mają w zakresie prywatności i bezpieczeństwa.

Gotowość do spełnienia żądań dotyczących dostępu do danych

Własność podmiotów danych nad ich danymi osobowymi leży u podstaw RODO. Jesteśmy więc gotowi odpowiedzieć na żądania podmiotów danych dotyczące usunięcia, modyfikacji lub przeniesienia ich danych.

Oznacza to, że nasi specjaliści ds. obsługi klienta i inżynierowie pomagający im są dobrze przygotowani, aby pomóc Ci w każdej sprawie dotyczącej Twoich danych osobowych, oprócz zapewniania fantastycznego doświadczenia obsługi klienta, do którego jesteś przyzwyczajony.

Dokumentacja

Nasze Warunki korzystania oraz Polityka prywatności są ciągle aktualizowane, aby zwiększyć przejrzystość i zapewnić zgodność dokumentów z wymogami RODO. Ponieważ stanowią one podstawę naszej relacji z Tobą, musimy wyczerpująco i otwarcie wyjaśnić nasze zobowiązania i Twoje prawa w tych dokumentach.

Dodatkowo, ciągle mapujemy wszystkie nasze działania przetwarzania danych, aby móc spełnić wymagania dotyczące odpowiedzialności zgodnie z RODO.

Szkolenie

Wszystko to jest wspierane przez obszerne wysiłki szkoleniowe w firmie, które zapewniają, że procesy zgodne z RODO, które wprowadziliśmy, są przestrzegane. Na przykład sesje dotyczące prywatności danych i bezpieczeństwa stanowią integralną część naszego procesu adaptacyjnego, a każdy dział otrzymuje szkolenie dostosowane do ich pracy związanej z danymi osobowymi.

Pipedrive jest zdecydowanie przekonany, że spełnienie wymagań RODO to znacznie więcej niż tylko zaznaczanie pudełek na liście. Dla nas RODO oznacza styl życia oparty na szacunku dla prywatności jednostek i odpowiedzialności za zarządzanie danymi osobowymi.