Kunskapsbas

25 maj 2018 markerar starten av genomförandet av Europeiska unionens allmänna dataskyddsförordning. Denna nya lagstiftning har påverkat i stor utsträckning alla vars verksamhet innebär hantering av personuppgifter om EU-medborgare eller inom EU. Naturligtvis är personuppgifter kärnan i att arbeta med försäljning, så Pipedrive och våra användare har också varit upptagna med att se till att vi följer lagarna.

Den här artikeln ger en översikt över de roller och ansvarsområden relaterade till data när du har valt Pipedrive som din CRM-plattform och kommer att förklara Pipedrives ansträngningar att leva upp till GDPR:s värden och krav.

---

Pipedrive som dataskyddsföretag

Personerna som du lagrar i Pipedrive som kontakter är dina registrerade, och du anses vara dataansvarig för denna personliga data. I våra tjänstevillkor och integritetspolicy, hänvisar vi till denna data som klientdata.

Att använda Pipedrive-appen för att hantera dina kunder innebär att du har anlitat Pipedrive som en dataskyddsföretag för att utföra vissa behandlingsaktiviteter på dina vägnar.

Enligt artikel 28 i GDPR måste förhållandet mellan ansvarig och databehandlare göras skriftligt (elektronisk form är acceptabel enligt punkt (9) i samma artikel).

Detta är där vår Datatillägg för databehandling (DPA), tjänstevillkor och integritetspolicy kommer in. Dessa tre dokument fungerar som ditt datatilläggsavtal, och anger de instruktioner som du ger till Pipedrive om att behandla den personliga data du kontrollerar och fastställer rättigheter och ansvar för båda parter. Pipedrive kommer endast att behandla din klientdata baserat på dina instruktioner som dataansvarig.

Slutligen är det viktigt att kontrollera avsnitt 14.1 i våra tjänstevillkor för att se vilket Pipedrive-företag som är din avtalspart.

Alla EU-kunder har en avtalsrelation med vårt EU-företag, baserat i Estland.

---

Dataöverföringar

Ett ämne som ofta diskuteras med kunder är dataöverföringar utanför EES.

GDPR fastställer strikta krav för att flytta data utanför sitt skyddsområde. Detta är bara naturligt - annars skulle lagen inte kunna uppfylla sitt syfte.

Vem är ansvarig för att uppfylla dessa krav för dataöverföring? Eftersom våra EU-kunder har en legal relation med vår EU-enhet förblir denna dataöverföring inom EES. Men om Pipedrive senare engagerar underleverantörer utanför EES är det vårt jobb att se till att vi överför data på ett lagligt sätt.

Vi kommer att hålla en uppdaterad lista över underleverantörer på vår Underleverantörer sida för att vara fullständigt transparenta om dessa överföringar. Denna lista kommer också förklara vilka data som är inblandade och hur vi har sett till att datan är adekvat skyddad även efter att den lämnar EES.

Detta gör vi genom att säkerställa att våra tredjepartsleverantörer antingen har certifierat sig enligt EU-US Data Privacy Framework eller undertecknat EU-kommissionens standardavtalsklausuler för dataöverföringar med oss.

---

Pipedrive som dataskyddskontrollant

Dessutom agerar Pipedrive som dataskyddskontrollant för de personuppgifter vi samlar in om dig, användaren av vår webbapp, mobilappar och webbplats.

För det första behandlar vi data som är nödvändig för oss att fullgöra vårt avtal med dig (GDPR Artikel 6(1)(b)).

För det andra behandlar vi data för att uppfylla våra skyldigheter enligt lagen (GDPR Artikel 6(1)(c)) – detta innefattar främst finansiella data och information som vi behöver för att uppfylla vårt ansvar enligt GDPR.

För det tredje behandlar vi dina personuppgifter för våra berättigade intressen i enlighet med GDPR Artikel 6(1)(f).

Vad är dessa "berättigade intressen" som vi pratar om?

• Förbättra appen för att hjälpa dig nå nya produktivitetsnivåer
• Säkerställa att dina data och Pipedrives system är säkra
• Ansvarsfull marknadsföring av vår produkt och dess funktioner
  

Förhoppningsvis hjälper detta dig att navigera bättre bland EU:s krav på dataskydd. Om du har några frågor angående ovanstående är du välkommen att kontakta oss på [email protected], och vi kommer göra vårt bästa för att förklara ytterligare.

---

Vad gör Pipedrive för GDPR?

Som ett företag med rötter i Europa är Pipedrive mycket medveten om konsekvenserna av EU:s allmänna dataskyddsförordning för företag.

Vi uppskattar integritetsbehoven hos Pipedrive-användare liksom deras kunder och har därför implementerat - och kommer att fortsätta förbättra - tekniska och organisatoriska åtgärder i linje med GDPR för att skydda de personuppgifter som behandlas av Pipedrive.

---

Internprocesser, säkerhet och datatransfers

En stor del av GDPR-efterlevnaden är att säkerställa att procedurer finns på plats och att data-processer är kartlagda och granskbara. Därför har vi lagt till element i vår applikationsutvecklingscykel för att bygga funktioner efter principerna för Privacy by Design.

Åtkomsten till den klientdata som vi behandlar för er räkning är strikt begränsad. Våra interna procedurer och loggar säkerställer att vi uppfyller GDPR:s krav på ansvarsfullhet i detta avseende.

Vi har etablerat en process för att välkomna tredjeparts leverantörer och anta verktyg som säkerställer att dessa tredje parter uppfyller de höga förväntningarna som Pipedrive och dess kunder har när det gäller integritet och säkerhet.

---

Redo att följa ämnesåtkomstförfrågningar

Äganderätten till sina personuppgifter är kärnan i GDPR. Därför är vi redo att svara på ämnespersoners förfrågningar om att radera, modifiera eller överföra deras data.

Det innebär att våra kundsupportspecialister och ingenjörer som assisterar dem är väl förberedda att hjälpa dig med alla ärenden som rör dina personuppgifter, utöver att erbjuda den fantastiska kundsupportupplevelse du är van vid.

---

Dokumentation

Våra Användarvillkor och Integritetspolicy revideras ständigt för att öka öppenheten och säkerställa att dokumenten uppfyller GDPR-kraven. Eftersom dessa utgör grunden för vårt förhållande med dig måste vi omfattande och öppet förklara våra åtaganden och dina rättigheter i dessa dokument.

Dessutom kartlägger vi kontinuerligt alla våra datahanteringsaktiviteter för att kunna uppfylla GDPR:s krav på ansvarsskyldighet.

---

Träning

Allt ovan stöds av omfattande träningsinsatser inom företaget, vilket säkerställer att de GDPR-kompatibla processer vi har på plats följs. Till exempel är dataskydd och säkerhetsessioner en integrerad del av vår introduktionsprocess, och varje avdelning får utbildning skräddarsydd för deras arbete med personuppgifter.

Pipedrive är fast övertygad om att uppfylla GDPR-kraven är mycket mer än bara att bocka av rutor på en lista. För oss representerar GDPR en livsstil av respekt för individers integritet och ansvar i hanteringen av personuppgifter.