База знань

25 травня 2018 року розпочинається виконання Загального регламенту Європейського Союзу з захисту даних. Цей новий закон значно вплинув на всіх, чий бізнес передбачає обробку особистих даних щодо резидентів ЄС або в межах ЄС. Зрозуміло, що особисті дані є основою роботи в продажах, тому Pipedrive та наші користувачі також працювали над тим, щоб ми були відповідні з законодавством.

Ця стаття надає огляд ролей і відповідальностей, пов'язаних з даними, коли ви обрали Pipedrive як вашу CRM-платформу, і пояснить зусилля Pipedrive щодо відповідності цінностям і вимогам GDPR.

Pipedrive як обробник даних

Люди, яких ви зберігаєте у Pipedrive як контакти, є вашими суб'єктами даних, і ви вважаєтеся контролером даних для цих особистих даних. У наших Умовах надання послуг та Політиці конфіденційності, ми називаємо ці дані даними клієнтів.

Використання програми Pipedrive для управління вашими клієнтами означає, що ви залучили Pipedrive як обробника даних для проведення певних оброблювальних дій від вашого імені.

Згідно зі статтею 28 Закону про захист персональних даних, відносини між контролером та обробником мають бути укладені письмово (електронна форма припустима згідно з пунктом (9) цієї ж статті).

Тут і виникає наша Додаткова угода про обробку даних (DPA), Умови надання послуг та Політика конфіденційності. Ці три документи слугують вашим контрактом на обробку даних, визначаючи інструкції, які ви надаєте Pipedrive щодо обробки особистих даних, якими ви керуєте, та встановлюючи права та відповідальність обох сторін. Pipedrive оброблятиме ваші дані клієнтів лише на підставі ваших інструкцій як контролер даних.

Наостанок, важливо перевірити Розділ 14.1 наших Умов надання послуг, щоб переконатися, яка є ваша контрактна сторона Pipedrive.

Всі клієнти з ЄС мають контрактні відносини з нашою європейською структурою, зареєстрованою в Естонії.

Передача даних

Однією з тем, яка часто обговорюється з клієнтами, є передача даних за межі ЄЕП.

За Кодексом GDPR встановлені строгі вимоги щодо переміщення даних за межі його області захисту. Це зовсім природно - інакше закон не зміг би виконати свою мету.

Хто відповідає за виконання цих вимог до передачі даних? Оскільки наші європейські клієнти мають юридичні відносини з нашою європейською структурою, ця передача даних залишається в межах ЄЕП. Однак, якщо Pipedrive пізніше залучатиме підпідрядників за межами ЄЕП, нашою обов'язком є забезпечити законність передачі даних.

Ми будемо підтримувати актуальний список підпідрядників на нашій Сторінці підпідрядників, щоб повністю прозоро про ці передачі. Цей список також пояснить, які дані в нього включено і як ми забезпечили адекватний захист даних навіть після їх виходу за межі ЄЕП.

Ми робимо це, переконавшись, що наші постачальники послуг сторонньої компанії або засвідчилися в рамках Фреймворку щодо конфіденційності даних ЄС-США, або підписали стандартні контрактні умови Комісії ЄС щодо передачі даних з нами.

Pipedrive як контролер даних

Додатково, Pipedrive діє як контролер даних для особистих даних, які ми збираємо про вас, користувача нашого веб-додатка, мобільних додатків та веб-сайту.

По-перше, ми обробляємо дані, які необхідні для виконання нашого контракту з вами (стаття 6(1)(b) GDPR).

По-друге, ми обробляємо дані для виконання наших обов'язків згідно з законом (стаття 6(1)(c) GDPR) - головним чином це стосується фінансових даних та інформації, яку нам потрібно представити для виконання наших обов'язкових зобов'язань згідно з GDPR.

По-третє, ми обробляємо ваші особисті дані для захисту наших законних інтересів відповідно до статті 6(1)(f) GDPR.

Про які саме "законні інтереси" ми говоримо?

• Покращення додатка для допомоги вам досягти нових рівнів продуктивності
• Гарантування безпеки вашій даних та систем Pipedrive
• Відповідальний маркетинг нашого продукту та його функцій
  

Сподіваємося, це допоможе вам краще орієнтуватися в вимогах ЄС щодо захисту даних. Якщо у вас є питання щодо вищезазначеного, не соромтеся звертатися до нас за адресою support@pipedrive.com, і ми зробимо все можливе, щоб детальніше пояснити вам речі.

Що робить Pipedrive з приводу GDPR?

Як компанія з корінням в Європі, Pipedrive добре орієнтована на наслідки, які має Загальний регламент щодо захисту даних в ЄС для бізнесу.

Ми цінуємо потреби у конфіденційності користувачів Pipedrive, а також їх клієнтів, і в цьому відношенні впровадили – і будемо продовжувати поліпшувати – технічні та організаційні заходи відповідно до GDPR для захисту персональних даних, оброблюваних Pipedrive.

Внутрішні процеси, безпека та передача даних

Велика частина відповідності до GDPR полягає в тому, щоб забезпечити, що процедури встановлені і процеси обробки даних відображені і піддаються перевірці. Тому ми додали елементи до циклу розробки наших додатків для побудови функцій за принципами Поселення приватності.

Будь-який доступ до даних клієнта, які ми обробляємо від вашого імені, строго обмежений. Наші внутрішні процедури та журнали забезпечують виконання вимог відповідальності за GDPR у цьому відношенні.

Ми встановили процес прийому на борт постачальників сторонніх послуг та впровадження інструментів, які забезпечують, що ці сторонні сторони відповідають високим вимогам щодо конфіденційності та безпеки, які мають Pipedrive та його клієнти.

Готовність виконувати запити на доступ до даних суб'єкта

Власність суб'єктів даних щодо їх особистих даних є основою Загального регламенту про захист даних. Тому ми готові реагувати на запити суб'єктів даних про видалення, модифікацію чи передачу їх даних.

Це означає, що наші спеціалісти з обслуговування клієнтів і інженери, які їм допомагають, готові допомогти вам у будь-яких питаннях, що стосуються ваших особистих даних, а також надавати фантастичний досвід обслуговування клієнтів, якого ви звикли очікувати.

Документація

Наші Умови надання послуг та Політика конфіденційності постійно переглядаються для підвищення прозорості та гарантії відповідності документів вимогам GDPR. Оскільки це є основою наших відносин з вами, ми повинні зрозуміло та відкрито пояснити наші зобов'язання та ваші права у цих документах.

Крім того, ми постійно картографуємо всі наші діяльності з оброблення даних, щоб відповідати вимогам відповідальності згідно з GDPR.

Навчання

Все вищезазначене підтримується широкими навчальними зусиллями всередині компанії, що забезпечують дотримання GDPR-сумісних процесів, які ми вже впровадили. Наприклад, сесії з конфіденційності та безпеки даних є невід'ємною частиною нашого процесу вступу в компанію, і кожний відділ отримує навчання, призначене спеціально для їхньої роботи з особистими даними.

Pipedrive наполегливо вірить, що відповідність вимогам GDPR - це набагато більше, ніж просте відмічання пунктів в списку. Для нас GDPR означає життєвий стиль поваги до конфіденційності особистості та відповідальність у роботі з особистими даними.