База знаний

25 мая 2018 года ознаменовал начало применения Общего регламента по защите данных Европейского Союза. Это новое законодательство значительно повлияло на всех, чья деятельность связана с обработкой персональных данных о резидентах ЕС или на территории ЕС. Естественно, персональные данные находятся в центре работы в сфере продаж, поэтому Pipedrive и наши пользователи также были заняты тем, чтобы убедиться, что мы соответствуем требованиям.

В этой статье представлен обзор ролей и обязанностей, связанных с данными, когда вы выбрали Pipedrive в качестве своей CRM-платформы, и будет объяснено, как Pipedrive стремится соответствовать ценностям и требованиям GDPR.

Pipedrive как обработчик данных

Люди, которых вы храните в Pipedrive как контакты, являются вашими субъектами данных, и вы рассматриваетесь как контролер данных для этих персональных данных. В наших Условиях обслуживания и Политике конфиденциальности мы называем эти данные данными клиентов.

Использование приложения Pipedrive для управления вашими клиентами означает, что вы привлекли Pipedrive в качестве обработчика данных для выполнения определенных действий по обработке от вашего имени.

Согласно статье 28 GDPR, отношения между контролером и обработчиком должны быть оформлены письменно (электронная форма приемлема в соответствии с подпунктом (9) той же статьи).

Здесь вступают в силу наши Дополнение к соглашению об обработке данных (DPA), Условия обслуживания и Политика конфиденциальности. Эти три документа служат вашим договором на обработку данных, устанавливающим инструкции, которые вы даете Pipedrive относительно обработки персональных данных, которые вы контролируете, и определяющим права и обязанности обеих сторон. Pipedrive будет обрабатывать ваши данные клиентов только на основании ваших инструкций как контролера данных.

Наконец, крайне важно проверить Раздел 14.1 наших Условий обслуживания, чтобы узнать, какая сущность Pipedrive является вашим контрактным партнером.

Все клиенты из ЕС имеют контрактные отношения с нашей европейской сущностью, расположенной в Эстонии.

Передача данных

Одна из тем, которая часто обсуждается с клиентами, — это передача данных за пределы ЕЭЗ.

GDPR устанавливает строгие требования к перемещению данных за пределы своей зоны защиты. Это вполне естественно — в противном случае закон не смог бы выполнять свою цель.

Кто несет ответственность за выполнение этих требований к передаче данных? Поскольку наши клиенты из ЕС имеют юридические отношения с нашим европейским подразделением, эта передача данных остается в пределах ЕЭЗ. Однако, если Pipedrive впоследствии привлекает субподрядчиков за пределами ЕЭЗ, наша задача — обеспечить законность передачи данных.

Мы будем поддерживать актуальный список субподрядчиков на нашей странице субподрядчиков, чтобы быть полностью прозрачными в отношении этих передач. Этот список также объяснит, какие данные вовлечены и как мы обеспечили адекватную защиту данных даже после их выхода за пределы ЕЭЗ.

Мы делаем это, обеспечивая, чтобы наши сторонние поставщики услуг либо были сертифицированы в рамках EU-US Data Privacy Framework, либо подписали стандартные договорные условия Европейской комиссии для передачи данных с нами.

Pipedrive как контроллер данных

Кроме того, Pipedrive выступает в качестве контроллера данных для личной информации, которую мы собираем о вас, пользователе нашего веб-приложения, мобильных приложений и веб-сайта.

Прежде всего, мы обрабатываем данные, которые необходимы для выполнения нашего контракта с вами (Статья 6(1)(b) GDPR).

Во-вторых, мы обрабатываем данные для выполнения наших обязательств в соответствии с законом (Статья 6(1)(c) GDPR) – это в первую очередь касается финансовых данных и информации, необходимой для выполнения наших обязательств по отчетности в соответствии с GDPR.

В-третьих, мы обрабатываем ваши личные данные для наших законных интересов в соответствии со Статьей 6(1)(f) GDPR.

Что такое эти «законные интересы», о которых мы говорим?

• Улучшение приложения, чтобы помочь вам достичь новых уровней продуктивности
• Обеспечение безопасности ваших данных и систем Pipedrive
• Ответственный маркетинг нашего продукта и его функций
  

Надеемся, это поможет вам лучше ориентироваться в требованиях защиты данных ЕС. Если у вас есть какие-либо вопросы по вышеуказанному, вы можете связаться с нами по адресу [email protected], и мы сделаем все возможное, чтобы объяснить ситуацию подробнее.

Что делает Pipedrive для соблюдения GDPR?

Будучи компанией с корнями в Европе, Pipedrive прекрасно осведомлён о последствиях, которые Общий регламент по защите данных ЕС имеет для бизнеса.

Мы ценим потребности в конфиденциальности пользователей Pipedrive, а также их клиентов и, как таковые, внедрили – и будем продолжать улучшать – технические и организационные меры в соответствии с GDPR для защиты персональных данных, обрабатываемых Pipedrive.

Внутренние процессы, безопасность и передача данных

Большая часть соблюдения GDPR заключается в том, чтобы убедиться, что процедуры установлены, а процессы обработки данных задокументированы и могут быть проверены. Поэтому мы добавили элементы в наш цикл разработки приложений, чтобы создавать функции в соответствии с принципами Конфиденциальности по дизайну.

Любой доступ к данным клиентов, которые мы обрабатываем от вашего имени, строго ограничен. Наши внутренние процедуры и журналы обеспечивают выполнение требований по ответственности GDPR в этом отношении.

Мы установили процесс для привлечения сторонних поставщиков услуг и принятия инструментов, которые гарантируют, что эти третьи стороны соответствуют высоким ожиданиям, которые Pipedrive и его клиенты имеют в отношении конфиденциальности и безопасности.

Готовность выполнять запросы на доступ к данным субъектов

Право субъектов данных на их личные данные является основой GDPR. Поэтому мы готовы реагировать на запросы субъектов данных на удаление, изменение или передачу их данных.

Это означает, что наши специалисты по поддержке клиентов и инженеры, которые им помогают, хорошо подготовлены, чтобы помочь вам по любым вопросам, связанным с вашими личными данными, помимо предоставления фантастического опыта обслуживания клиентов, к которому вы привыкли.

Документация

Наши Условия обслуживания и Политика конфиденциальности постоянно пересматриваются для повышения прозрачности и обеспечения соответствия документов требованиям GDPR. Поскольку они являются основой наших отношений с вами, мы должны всесторонне и открыто объяснять наши обязательства и ваши права в этих документах.

Кроме того, мы постоянно картируем все наши действия по обработке данных, чтобы иметь возможность соблюдать требования ответственности по GDPR.

Обучение

Все вышеперечисленное поддерживается обширными усилиями по обучению внутри компании, что обеспечивает соблюдение процессов, соответствующих GDPR. Например, сессии по защите данных и безопасности являются неотъемлемой частью нашего процесса адаптации, и каждый отдел получает обучение, адаптированное к их работе с персональными данными.

Pipedrive твердо убежден, что соблюдение требований GDPR — это гораздо больше, чем просто отметка галочек в списке. Для нас GDPR представляет собой образ жизни, основанный на уважении к личной жизни людей и ответственности в обращении с персональными данными.