Kunskapsbas

Den 25 maj 2018 markerar starten av genomförandet av Europeiska unionens allmänna dataskyddsförordning. Denna nya lagstiftning har påverkat i hög grad alla vars verksamhet innebär hantering av personuppgifter om EU-invånare eller inom EU. Naturligtvis är personuppgifter kärnan i att arbeta med försäljning, så både Pipedrive och våra användare har också varit upptagna med att se till att vi följer lagstiftningen.

Den här artikeln ger en översikt över de datarelaterade roller och ansvar när du har valt Pipedrive som din CRM-plattform och kommer att förklara Pipedrives ansträngningar att leva upp till GDPR:s värderingar och krav.

Pipedrive som datatjänst

Personerna du lagrar i Pipedrive som kontakter är dina registrerade, och du anses vara datatjänsten för dessa personuppgifter. I våra Användarvillkor och Integritetspolicy, hänvisar vi till dessa uppgifter som kunddata.

Genom att använda Pipedrive-appen för att hantera dina kunder innebär det att du har anlitat Pipedrive som en datatjänst för att utföra vissa behandlingsaktiviteter å dina vägnar.

Enligt artikel 28 i GDPR måste relationen mellan datatjänsten och datatjänsteleverantören göras skriftligen (elektronisk form är godtagbar enligt punkt (9) i samma artikel).

Detta är där vår Tillägg för datatjänst (DPA), Användarvillkor och Integritetspolicy kommer in. Dessa tre dokument fungerar som ditt datatjänstavtal, som anger de instruktioner du ger till Pipedrive om att behandla de personuppgifter du kontrollerar och fastställa rättigheterna och skyldigheterna för båda parter. Pipedrive kommer endast att behandla dina kunddata baserat på dina instruktioner som datatjänsten.

Slutligen är det viktigt att kontrollera Avsnitt 14.1 i våra Användarvillkor för att se vilken Pipedrive-entitet som är din avtalspartner.

Alla EU-kunder har ett avtalsförhållande med vår EU-enhet, med bas i Estland.

Dataöverföringar

Ett ämne som ofta kommer upp med kunder är dataöverföringar utanför EES.

GDPR fastställer stränga krav för att flytta data utanför dess skyddsområde. Detta är bara naturligt - annars skulle lagen inte kunna uppfylla sitt syfte.

Vem är ansvarig för att uppfylla dessa krav för dataöverföringar? Eftersom våra EU-kunder har en juridisk relation med vår EU-enhet förblir denna dataöverföring inom EES. Om Pipedrive emellertid senare engagerar delbehandlare utanför EES är det vårt jobb att säkerställa att vi överför data på ett lagligt sätt.

Vi kommer att hålla en aktuell lista över delbehandlare på vår Delbehandlare-sida för att vara helt transparenta om dessa överföringar. Denna lista kommer också förklara vilka data som är involverade och hur vi har säkerställt att data skyddas adekvat även efter att den lämnar EES.

Vi gör detta genom att säkerställa att våra tjänsteleverantörer från tredje part antingen har certifierat sig enligt EU-US Data Privacy Framework eller har undertecknat EU-kommissionens standardavtalsklausuler för dataöverföringar med oss.

Pipedrive som dataskyddskontroller

Dessutom fungerar Pipedrive som dataskyddskontroller för de personuppgifter vi samlar in om dig, användaren av vår webbapp, mobilappar och webbplats.

För det första behandlar vi data som är nödvändig för att vi ska kunna utföra vårt avtal med dig (GDPR Artikel 6(1)(b)).

För det andra behandlar vi data för att uppfylla våra skyldigheter enligt lag (GDPR Artikel 6(1)(c)) - detta involverar främst finansiella data och information som vi behöver för att uppfylla våra ansvarsförpliktelser enligt GDPR.

För det tredje behandlar vi dina personuppgifter för våra legitima intressen enligt GDPR Artikel 6(1)(f).

Vilka är dessa "legitima intressen" vi pratar om?

• Förbättra appen för att hjälpa dig att uppnå nya produktivitetsnivåer
• Säkerställa att dina data och Pipedrives system är säkra och skyddade
• Ansvarsfull marknadsföring av vår produkt och dess funktioner
  

Förhoppningsvis hjälper detta dig att navigera bättre bland EU:s dataskyddskrav. Om du har några frågor angående ovanstående är du välkommen att kontakta oss på support@pipedrive.com, och vi ska göra vårt bästa för att förklara saker mer ingående.

Vad gör Pipedrive för GDPR?

Som ett företag med rötter i Europa är Pipedrive mycket medveten om de konsekvenser som EU:s allmänna dataskyddsförordning har för företag.

Vi uppskattar integritetsbehoven hos Pipedrives användare liksom deras kunder och har därför implementerat – och kommer att fortsätta förbättra – tekniska och organisatoriska åtgärder i enlighet med GDPR för att skydda den personliga data som behandlas av Pipedrive.

Intern processer, säkerhet och datatransfers

En stor del av GDPR-efterlevnaden är att säkerställa att procedurer finns på plats och att data-processer är kartlagda och granskbara. Därför har vi lagt till element i vår applikationsutvecklingscykel för att bygga funktioner enligt principerna för Privacy by Design.

All åtkomst till de klientdata som vi behandlar å ditt företags vägnar är strikt begränsad. Våra interna procedurer och loggar säkerställer att vi uppfyller GDPRs ansvarskrav i detta avseende.

Vi har etablerat en process för att ombordstigning av tredjepartsleverantörer och att anta verktyg som säkerställer att dessa tredje parter uppfyller de höga förväntningar som Pipedrive och dess kunder har när det gäller integritet och säkerhet.

Förmåga att följa ämnesåtkomstbegäranden

Ägandet av sina personuppgifter är kärnan i GDPR. Vi är därför redo att svara på begäranden från registrerade för att radera, ändra eller överföra deras data.

Det innebär att våra kundsupportspecialister och ingenjörer som hjälper dem är väl förberedda att hjälpa dig med alla frågor som rör dina personuppgifter, utöver att ge den fantastiska kundsupportupplevelse du är van vid.

Dokumentation

Våra Användarvillkor och Integritetspolicy revideras ständigt för att öka transparensen och säkerställa att dokumenten uppfyller GDPR-kraven. Eftersom dessa utgör grunden för vårt förhållande med dig måste vi utförligt och öppet förklara våra åtaganden och dina rättigheter i dessa dokument.

Dessutom kartlägger vi kontinuerligt alla våra datamaskinaktiviteter för att kunna följa GDPR-ansvarskraven.

Utbildning

Allt ovan stöds av omfattande utbildningsinsatser inom företaget, vilket säkerställer att de GDPR-kompatibla processer vi har implementerat följs. Till exempel är sekretess- och säkerhetssessioner en integrerad del av vår introduktionsprocess, och varje avdelning genomgår utbildning skräddarsydd för deras arbete med personuppgifter.

Pipedrive är övertygat om att uppfylla GDPR-kraven är mycket mer än att bara bocka av rutor på en lista. För oss representerar GDPR en livsstil av respekt för individers integritet och ansvar i hanteringen av personuppgifter.