База знань

25 травня 2018 року знаменує початок дії Загального регламенту захисту даних Європейського Союзу. Ця нова законодавча ініціатива суттєво вплинула на всіх, чий бізнес пов'язаний з обробкою особистих даних про резидентів ЄС або в межах ЄС. Звичайно, особисті дані є основою роботи в продажах, тому Pipedrive та наші користувачі також активно працюють над забезпеченням відповідності.

Ця стаття надає огляд ролей і відповідальностей, пов'язаних з даними, коли ви обрали Pipedrive як вашу CRM платформу, і пояснить зусилля Pipedrive відповідати цінностям і вимогам GDPR.

Pipedrive як обробник даних

Люди, яких ви зберігаєте в Pipedrive як контакти, є вашими суб'єктами даних, і ви вважаєтеся контролером даних для цих персональних даних. У наших Умовах обслуговування та Політиці конфіденційності ми називаємо ці дані даними клієнтів.

Використання додатку Pipedrive для управління вашими клієнтами означає, що ви залучили Pipedrive як обробника даних для виконання певних дій з обробки від вашого імені.

Згідно зі статтею 28 GDPR, відносини між контролером і обробником повинні бути оформлені в письмовій формі (електронна форма є прийнятною відповідно до підпункту (9) тієї ж статті).

Тут вступають в силу наш Додаток до угоди про обробку даних (DPA), Умови обслуговування та Політика конфіденційності. Ці три документи слугують вашим контрактом на обробку даних, в якому викладені інструкції, які ви надаєте Pipedrive щодо обробки персональних даних, які ви контролюєте, та встановлюються права і обов'язки обох сторін. Pipedrive буде обробляти ваші дані клієнтів лише на основі ваших інструкцій як контролера даних.

Нарешті, важливо перевірити Розділ 14.1 наших Умов обслуговування, щоб дізнатися, яка юридична особа Pipedrive є вашим контрактним партнером.

Усі клієнти з ЄС мають контрактні відносини з нашою європейською юридичною особою, що базується в Естонії.

Передача даних

Одна з тем, яка часто виникає у клієнтів, - це передача даних за межі ЄЕП.

GDPR встановлює суворі вимоги до переміщення даних за межі своєї сфери захисту. Це цілком природно – інакше було б неможливо, щоб закон виконував своє призначення.

Хто несе відповідальність за виконання цих вимог щодо передачі даних? Оскільки наші клієнти з ЄС мають юридичні відносини з нашою європейською структурою, ця передача даних залишається в межах ЄЕП. Однак, якщо Pipedrive згодом залучає субпідрядників за межами ЄЕП, наша задача – забезпечити, щоб ми передавали дані законно.

Ми будемо підтримувати актуальний список субпідрядників на нашій Сторінці субпідрядників, щоб бути повністю прозорими щодо цих передач. Цей список також пояснить, які дані залучені і як ми забезпечили адекватний захист даних, навіть після їх виходу за межі ЄЕП.

Ми робимо це, забезпечуючи, щоб наші постачальники послуг третьої сторони або отримали сертифікацію відповідно до Рамкової угоди про захист даних між ЄС та США, або підписали стандартні контрактні положення Європейської комісії для передачі даних з нами.

Pipedrive як контролер даних

Крім того, Pipedrive виступає в ролі контролера даних для особистих даних, які ми збираємо про вас, користувача нашого веб-додатку, мобільних додатків та веб-сайту.

По-перше, ми обробляємо дані, які необхідні для виконання нашого контракту з вами (Стаття 6(1)(b) GDPR).

По-друге, ми обробляємо дані для виконання наших зобов'язань відповідно до закону (Стаття 6(1)(c) GDPR) – це в основному стосується фінансових даних та інформації, яку нам потрібно для виконання наших зобов'язань щодо звітності відповідно до GDPR.

По-третє, ми обробляємо ваші особисті дані для наших законних інтересів відповідно до Статті 6(1)(f) GDPR.

Що таке ці “законні інтереси”, про які ми говоримо?

• Покращення додатку, щоб допомогти вам досягти нових рівнів продуктивності
• Забезпечення безпеки ваших даних та систем Pipedrive
• Відповідальний маркетинг нашого продукту та його функцій
  

Сподіваємося, це допоможе вам краще орієнтуватися в вимогах захисту даних ЄС. Якщо у вас є будь-які питання щодо вищезазначеного, ви можете зв'язатися з нами за адресою [email protected], і ми зробимо все можливе, щоб пояснити ситуацію детальніше.

Що робить Pipedrive для GDPR?

Як компанія з корінням в Європі, Pipedrive дуже добре обізнана з наслідками, які Загальний регламент захисту даних ЄС має для бізнесу.

Ми цінуємо потреби в конфіденційності користувачів Pipedrive, а також їхніх клієнтів, і, як такі, впровадили – і будемо продовжувати вдосконалювати – технічні та організаційні заходи відповідно до GDPR для захисту персональних даних, оброблюваних Pipedrive.

Внутрішні процеси, безпека та передача даних

Велика частина відповідності GDPR полягає в забезпеченні наявності процедур та картографування процесів обробки даних. Тому ми додали елементи до нашого циклу розробки додатків, щоб створювати функції відповідно до принципів Конфіденційності за дизайном.

Будь-який доступ до даних клієнтів, які ми обробляємо від вашого імені, суворо обмежений. Наші внутрішні процедури та журнали забезпечують виконання вимог відповідальності GDPR у цьому відношенні.

Ми встановили процес для залучення сторонніх постачальників послуг та впровадження інструментів, які гарантують, що ці треті сторони відповідають високим очікуванням, які Pipedrive та його клієнти мають щодо конфіденційності та безпеки.

Готовність виконувати запити на доступ до даних суб'єктів

Власність суб'єктів даних на свої персональні дані є основою GDPR. Тому ми готові реагувати на запити суб'єктів даних щодо видалення, зміни або передачі їхніх даних.

Це означає, що наші фахівці з обслуговування клієнтів та інженери, які їм допомагають, добре підготовлені, щоб допомогти вам у будь-яких питаннях, що стосуються ваших персональних даних, крім надання фантастичного обслуговування клієнтів, до якого ви звикли.

Документація

Наші Умови обслуговування та Політика конфіденційності постійно переглядаються для підвищення прозорості та забезпечення відповідності документів вимогам GDPR. Оскільки це є основою наших відносин з вами, ми повинні всебічно та відкрито пояснити наші зобов'язання та ваші права в цих документах.

Крім того, ми постійно картографуємо всі наші діяльності з обробки даних, щоб мати можливість відповідати вимогам звітності GDPR.

Навчання

Усе вищезазначене підтримується широкими зусиллями з навчання в компанії, що забезпечує дотримання процесів, які відповідають GDPR. Наприклад, сесії з конфіденційності та безпеки даних є невід'ємною частиною нашого процесу введення в посаду, і кожен відділ отримує навчання, адаптоване до їхньої роботи з особистими даними.

Pipedrive твердо переконаний, що виконання вимог GDPR є набагато більше, ніж просто відмітка пунктів у списку. Для нас GDPR представляє спосіб життя, що поважає конфіденційність осіб та відповідальність у обробці особистих даних.