База знань

25 травня 2018 року набув чинності Загальний регламент Європейського Союзу щодо захисту персональних даних (GDPR).

Це нове законодавство суттєво торкнулося всіх, чиї бізнеси пов’язані з обробкою персональних даних про мешканців ЄС або обробкою даних у межах ЄС. Звісно, персональні дані є в центрі роботи у сфері продажів, тож Pipedrive і наші користувачі також були зайняті тим, щоб забезпечити відповідність вимогам.

Ця стаття надає огляд ролей і відповідальності, пов’язаних із даними, коли ви обрали Pipedrive як свою CRM-платформу, і пояснює зусилля Pipedrive щодо дотримання принципів і вимог GDPR.

Pipedrive як обробник даних

Особи, яких ви зберігаєте в Pipedrive як контакти, є вашими суб’єктами даних, а ви вважаєтеся контролером даних щодо цих персональних даних. У наших Умовах надання послуг та Повідомленні про конфіденційність ми називаємо ці дані даними клієнта (дані, які ви обробляєте в Pipedrive).

Використання додатку Pipedrive для управління вашими клієнтами означає, що ви залучили Pipedrive як обробника даних для виконання певних операцій з обробки від вашого імені.

Відповідно до статті 28 GDPR, відносини між контролером та обробником повинні бути закріплені в письмовій формі (електронна форма також прийнятна відповідно до підпункту (9) тієї ж статті).

Саме тут вступають у дію наш Додаток щодо обробки даних (DPA), Умови надання послуг та Повідомлення про конфіденційність. Ці три документи виконують роль вашого договору про обробку даних, у якому викладено інструкції, які ви надаєте Pipedrive щодо обробки персональних даних, якими ви керуєте, а також встановлено права та обов'язки обох сторін. Pipedrive як обробник даних буде обробляти ваші дані клієнтів лише на основі ваших інструкцій як контролера даних.

Нарешті, важливо перевірити розділ 14.1 наших Умов надання послуг, щоб дізнатися, яка саме юридична особа Pipedrive є вашим договірним партнером.

Усі клієнти з ЄС мають договірні відносини з нашою європейською юридичною особою, зареєстрованою в Естонії.

Передача даних

Тема, яка часто виникає у клієнтів — передача даних за межі ЄЕЗ.

GDPR встановлює жорсткі вимоги до передачі даних за межі зони його дії. Це цілком природно — інакше закон не зміг би виконувати свою мету.

Хто несе відповідальність за дотримання цих вимог щодо передачі даних? Оскільки наші клієнти в ЄС мають правовідносини з нашою європейською компанією, така передача даних залишається в межах ЄЕЗ. Однак якщо Pipedrive згодом залучатиме субпідрядників за межами ЄЕЗ, на нас лежить обов’язок забезпечити законність такої передачі даних.

Ми підтримуватимемо актуальний перелік субпідрядників на нашій Сторінці субпідрядників, щоб забезпечити повну прозорість щодо таких передач. У цьому списку також буде вказано, які дані залучені та як ми гарантуємо належний захист даних навіть після їхнього виходу з-під захисту ЄЕЗ.

Ми робимо це, переконуючись, що наші сторонні постачальники послуг або сертифіковані в рамках EU‑US Data Privacy Framework, або підписали із нами стандартні договірні положення Єврокомісії для передачі даних. Водночас важливо зазначити, що ми не покладаємося на DPF як механізм передачі даних.

Ми дотримуємося застосовних законів і нормативних актів щодо захисту даних під час передачі інформації між регіонами або країнами, зокрема впроваджуємо відповідні заходи безпеки, такі як шифрування даних та договірні домовленості (DPA, SCC, коли це доречно), щоб забезпечити відповідність вимогам і захистити конфіденційність даних наших клієнтів.

Pipedrive як контролер даних

Крім того, Pipedrive виступає контролером даних персональної інформації, яку ми збираємо про вас, користувача нашого веб‑застосунку, мобільних додатків та вебсайту.

Перш за все, ми обробляємо дані, необхідні для виконання нашого договору з вами (стаття 6(1)(b) GDPR).

По‑друге, ми обробляємо дані для виконання наших обовʼязків згідно із законом (стаття 6(1)(c) GDPR). Це насамперед стосується фінансових даних та інформації, необхідної нам для виконання наших зобовʼязань щодо підзвітності за GDPR.

По‑третє, ми обробляємо ваші персональні дані для захисту наших законних інтересів відповідно до статті 6(1)(f) GDPR.

Що саме ми маємо на увазі під «законними інтересами»?

• Покращення додатку, щоб допомогти вам досягти нових рівнів продуктивності
• Забезпечення безпеки ваших даних та систем Pipedrive
• Відповідальний маркетинг нашого продукту та його функцій

Сподіваємося, це допоможе вам краще орієнтуватися в вимогах ЄС щодо захисту даних.

Що робить Pipedrive для дотримання вимог GDPR?

Як компанія з корінням у Європі, Pipedrive добре розуміє наслідки Загального регламенту захисту даних (GDPR) ЄС для бізнесу.

Ми цінуємо потреби в конфіденційності користувачів Pipedrive та їхніх клієнтів і, відповідно, впровадили – і надалі будемо удосконалювати – технічні та організаційні заходи відповідно до GDPR для захисту персональних даних, що обробляються Pipedrive.

Внутрішні процеси, безпека та передача даних

Значна частина відповідності вимогам GDPR полягає в тому, щоб забезпечити наявність процедур і щоб процеси обробки даних були задокументовані та підлягали аудиту. Тому ми включили елементи у цикл розробки наших застосунків, щоб створювати функції відповідно до принципів Privacy by Design і Security by Design.

Будь-який доступ до даних клієнтів, які ми обробляємо від вашого імені, суворо обмежений. Наші внутрішні процедури та журнали забезпечують дотримання вимог GDPR щодо підзвітності в цьому відношенні.

Ми встановили процес підключення сторонніх постачальників послуг і впровадження інструментів, що гарантують, що ці треті сторони відповідають високим очікуванням Pipedrive та її клієнтів щодо конфіденційності та безпеки.

Готовність виконувати запити на доступ суб’єкта даних

Право суб’єктів даних на володіння своїми персональними даними є в основі GDPR. Тому ми готові реагувати на запити суб’єктів даних про видалення, зміну або передачу їхніх даних.

Це означає, що наші фахівці служби підтримки клієнтів та інженери, які їм допомагають, добре підготовлені, щоб допомогти вам у будь-яких питаннях, пов’язаних із вашими персональними даними, а також забезпечити той чудовий досвід обслуговування клієнтів, до якого ви звикли.

Документація

Наші Умови надання послуг та Повідомлення про конфіденційність регулярно оновлюються, щоб підвищити прозорість і забезпечити відповідність вимогам GDPR.

Оскільки ці документи становлять основу наших відносин з вами, ми повинні надати всебічне та прозоре пояснення наших зобов'язань і ваших прав.

Крім того, ми постійно відстежуємо та документуємо всі наші дії з обробки даних, щоб забезпечити відповідність вимогам GDPR щодо підзвітності.

Навчання

Усе вищезазначене підтримується широкими навчальними ініціативами в компанії, що забезпечують дотримання впроваджених нами процесів, які відповідають вимогам GDPR.

Наші співробітники проходять регулярні навчальні та інформаційні програми з питань конфіденційності та безпеки, щоб бути обізнаними про найкращі практики, актуальні загрози та способи захисту персональних даних. Наприклад, сесії з конфіденційності та безпеки даних є невід'ємною частиною нашого процесу адаптації, і кожен відділ отримує навчання, яке пристосоване до його роботи з персональними даними.

Pipedrive твердо переконаний, що дотримання вимог GDPR — це набагато більше, ніж просто відмічання пунктів у списку. Для нас GDPR означає зобов'язання поважати приватність осіб та брати на себе відповідальність за обробку персональних даних.