Bilgi Bankası

25 Mayıs 2018, Avrupa Birliği Genel Veri Koruma Yönetmeliği'nin yürürlüğe girmesini işaret ediyor. Bu yeni mevzuat, AB sakinleriyle veya AB içinde kişisel verileri işleyen herhangi bir işletmeyi önemli ölçüde etkilemiştir. Doğal olarak, kişisel veriler satış yaparken işin merkezinde yer alır, bu nedenle Pipedrive ve kullanıcılarımız da uyumlu olduğumuzdan emin olmak için yoğun bir şekilde çalıştılar.

Bu makale, Pipedrive'ı CRM platformu olarak seçtiğinizde veri ile ilgili rollerin ve sorumlulukların bir özetini sunmakta ve Pipedrive'ın GDPR'nın değerlerine ve gerekliliklerine uygun olma çabalarını açıklamaktadır.

Pipedrive veri işleyici olarak

Pipedrive'da iletişim bilgilerini sakladığınız kişiler, sizin veri sahiplerinizdir ve bu kişisel veriler için veri kontrolörü olarak kabul edilirsiniz. Hizmet Şartlarımızda ve Gizlilik Politikasında bu verileri müşteri verisi olarak adlandırıyoruz.

Müşterilerinizi yönetmek için Pipedrive uygulamasını kullanmak, Pipedrive'ı sizin adınıza belirli işleme faaliyetlerini gerçekleştirmesi için bir veri işleyici olarak görevlendirdiğiniz anlamına gelir.

GDPR'ın 28. maddesine göre, kontrolör ile işleyici arasındaki ilişki yazılı olarak düzenlenmelidir (aynı maddenin (9) numaralı fıkrası uyarınca elektronik form kabul edilebilir).

İşte burada Veri İşleme Ek Protokolümüz (DPA), Hizmet Şartlarımız ve Gizlilik Politikasımız devreye giriyor. Bu üç belge, Pipedrive'a kontrol ettiğiniz kişisel verilerin işlenmesi hakkında verdiğiniz talimatları belirleyen veri işleme sözleşmeniz olarak hizmet eder ve her iki tarafın haklarını ve sorumluluklarını belirler. Pipedrive, yalnızca veri kontrolörü olarak verdiğiniz talimatlara dayanarak müşteri verilerinizi işleyecektir.

Son olarak, hangi Pipedrive varlığının sözleşmeli ortağınız olduğunu görmek için Hizmet Şartlarımızın 14.1. bölümünü kontrol etmek çok önemlidir.

Tüm AB müşterileri, Estonya merkezli AB varlığımızla sözleşmeli bir ilişkiye sahiptir.

Veri transferleri

Müşterilerle sıkça gündeme gelen bir konu, EEA dışındaki veri transferleridir.

GDPR, verilerin koruma kapsamı dışına taşınması için katı gereklilikler belirler. Bu tamamen doğaldır - aksi takdirde, yasanın amacını yerine getirmesi imkansız olurdu.

Bu veri transfer gerekliliklerini karşılama sorumluluğu kimdedir? AB müşterilerimizin AB varlığıyla yasal bir ilişkisi olduğundan, bu veri transferi EEA içinde kalır. Ancak, Pipedrive daha sonra EEA dışındaki alt işleyicileri devreye alırsa, verileri yasal olarak transfer ettiğimizden emin olmak bizim görevimizdir.

Bu transferler hakkında tamamen şeffaf olmak için, Alt işleyiciler sayfamızda güncel bir alt işleyici listesi tutacağız. Bu liste ayrıca hangi verilerin dahil olduğunu ve verilerin EEA'dan çıktıktan sonra yeterince korunduğunu nasıl sağladığımızı açıklayacaktır.

Bunu, üçüncü taraf hizmet sağlayıcılarımızın ya AB-ABD Veri Gizliliği Çerçevesi'nde sertifikalandırılmış olmasını ya da veri transferleri için bizimle AB Komisyonu'nun standart sözleşme maddelerini imzalamış olmasını sağlayarak yapıyoruz.

Pipedrive veri kontrolörü olarak

Ayrıca, Pipedrive, web uygulamamızın, mobil uygulamalarımızın ve web sitemizin kullanıcısı olan sizden topladığımız kişisel verilerin veri kontrolörü olarak hareket etmektedir.

Öncelikle, sizinle olan sözleşmemizi yerine getirebilmemiz için gerekli olan verileri işliyoruz (GDPR Madde 6(1)(b)).

İkincisi, yasal yükümlülüklerimizi yerine getirmek için verileri işliyoruz (GDPR Madde 6(1)(c)) – bu öncelikle finansal verileri ve GDPR kapsamındaki hesap verebilirlik yükümlülüklerimizi yerine getirmek için ihtiyaç duyduğumuz bilgileri içerir.

Üçüncüsü, GDPR Madde 6(1)(f) ile uyumlu olarak meşru menfaatlerimiz için kişisel verilerinizi işliyoruz.

Bahsettiğimiz bu “meşru menfaatler” nelerdir?

• Uygulamayı geliştirerek size yeni verimlilik seviyelerine ulaşmanızda yardımcı olmak
• Verilerinizin ve Pipedrive sistemlerinin güvenli ve emniyetli olmasını sağlamak
• Ürünümüzün ve özelliklerinin sorumlu bir şekilde pazarlanması
  

Umarım bu, AB'nin veri koruma gerekliliklerini daha iyi anlamanıza yardımcı olur. Yukarıdaki konularla ilgili herhangi bir sorunuz varsa, [email protected] adresinden bizimle iletişime geçmekten çekinmeyin, ve konuları daha iyi açıklamak için elimizden geleni yapacağız.

Pipedrive, GDPR için ne yapıyor?

Avrupa kökenli bir şirket olarak, Pipedrive, AB Genel Veri Koruma Yönetmeliği'nin işletmeler için taşıdığı sonuçların farkındadır.

Pipedrive kullanıcılarının ve onların müşterilerinin gizlilik ihtiyaçlarını önemsiyoruz ve bu nedenle, Pipedrive tarafından işlenen kişisel verileri korumak için GDPR ile uyumlu teknik ve organizasyonel önlemleri uyguladık ve uygulamaya devam edeceğiz.

İç süreçler, güvenlik ve veri transferleri

GDPR uyumluluğunun büyük bir kısmı, prosedürlerin yerinde olduğundan ve veri süreçlerinin haritalandığından ve denetlenebilir olduğundan emin olmaktır. Bu nedenle, Gizlilik Tasarımında ilkelerine uygun özellikler geliştirmek için uygulama geliştirme döngümüze unsurlar ekledik.

Sizin adınıza işlediğimiz müşteri verilerine erişim kesinlikle sınırlıdır. İç prosedürlerimiz ve kayıtlarımız, bu konuda GDPR hesap verebilirlik gerekliliklerini karşıladığımızı garanti eder.

Üçüncü taraf hizmet sağlayıcılarını işe alma ve bu üçüncü tarafların Pipedrive ve müşterilerinin gizlilik ve güvenlik konusundaki yüksek beklentilerini karşıladığından emin olan araçları benimseme süreci oluşturduk.

Konu erişim taleplerine uyum sağlama hazırlığı

Veri sahiplerinin kişisel verileri üzerindeki sahipliği GDPR'nın merkezindedir. Bu nedenle, veri sahiplerinin verilerini silme, değiştirme veya aktarma taleplerine yanıt vermeye hazırız.

Bu, müşteri destek uzmanlarımızın ve onlara yardımcı olan mühendislerin, kişisel verilerinizle ilgili her türlü konuda size yardımcı olmaya iyi bir şekilde hazır oldukları anlamına gelir; ayrıca alışkın olduğunuz harika müşteri destek deneyimini sunmaya devam edeceğiz.

Belgeler

Bizim Hizmet Şartlarımız ve Gizlilik Politikasımız sürekli olarak gözden geçirilmektedir, böylece şeffaflığı artırabilir ve belgelerin GDPR gerekliliklerini karşıladığından emin olabiliriz. Bunlar sizinle olan ilişkimizin temelini oluşturduğundan, taahhütlerimizi ve haklarınızı bu belgelerde kapsamlı ve açık bir şekilde açıklamalıyız.

Ayrıca, GDPR hesap verebilirlik gerekliliklerine uymak için tüm veri işleme faaliyetlerimizi sürekli olarak haritalandırıyoruz.

Eğitim

Yukarıda belirtilenlerin tümü, şirket içinde kapsamlı eğitim çabalarıyla desteklenmektedir ve uyguladığımız GDPR uyumlu süreçlerin takip edilmesini sağlamaktadır. Örneğin, veri gizliliği ve güvenliği oturumları, işe alım sürecimizin ayrılmaz bir parçasıdır ve her departman, kişisel verilerle ilgili çalışmalarına özel olarak hazırlanmış eğitim alır.

Pipedrive, GDPR gerekliliklerini karşılamanın, sadece bir liste üzerindeki kutuları işaretlemekten çok daha fazlası olduğuna kesinlikle inanmaktadır. Bizim için GDPR, bireylerin gizliliğine saygı ve kişisel verilerin işlenmesinde sorumluluk anlayışını temsil eden bir yaşam tarzıdır.