Tudástár

2018. május 25-én lépett hatályba az Európai Unió általános adatvédelmi rendelete.

Ez az új jogszabály jelentősen érinti azokat, akiknek az üzleti tevékenysége személyes adatok kezelésével jár az EU lakosaira vagy az EU területén. Természetesen a személyes adatok az értékesítés munkájának középpontjában állnak, ezért a Pipedrive és felhasználóink is azon dolgoztak, hogy biztosítsák a megfelelést.

Ez a cikk áttekintést ad az adatkezeléssel kapcsolatos szerepekről és felelősségekről, amikor a Pipedrive-ot választja CRM-platformként, és ismerteti a Pipedrive erőfeszítéseit, hogy megfeleljen a GDPR értékeinek és követelményeinek.

Pipedrive mint adatfeldolgozó

A Pipedrive-ban kapcsolatként tárolt személyek az Ön érintettjei, és ezeket a személyes adatokat Ön kezeli adatkezelőként. A Terms of Service és a Privacy Notice dokumentumban ezt az adatot ügyféladatoknak nevezzük (azok az adatok, amelyeket a Pipedrive-on belül kezel).

A Pipedrive alkalmazás ügyfelei kezelésére való használata azt jelenti, hogy Ön adatfeldolgozóként megbízta a Pipedrive-ot, hogy az Ön nevében bizonyos feldolgozási műveleteket végezzen.

A GDPR 28. cikke szerint az adatkezelő és az adatfeldolgozó közötti viszonyt írásban kell rögzíteni (a jogszabály ugyanazon cikkének (9) bekezdése szerint elektronikus formában is elfogadható).

Ebben segít a mi Data Processing Addendum (DPA), a Terms of Service és a Privacy Notice. Ezek a dokumentumok szolgálnak az Ön adatfeldolgozási szerződéseként, meghatározva azokat az utasításokat, amelyeket Ön ad a Pipedrive-nak a kezelt személyes adatok feldolgozására vonatkozóan, és rögzítik a felek jogait és kötelezettségeit. A Pipedrive adatfeldolgozóként csak az Ön, mint adatkezelő utasításai alapján fogja feldolgozni az ügyféladatait.

Végül fontos ellenőrizni a Terms of Service 14.1. pontját, hogy megtudja, melyik Pipedrive-társaság az Ön szerződéses partnere.

Minden EU-ügyfél szerződéses kapcsolatban áll az Észtországban bejegyzett uniós társaságunkkal.

Adatátvitelek

Az ügyfeleknél gyakran felmerülő téma az EGT-n kívüli adatátvitelek.

A GDPR szigorú követelményeket állapít meg a rendelet hatályán kívüli területekre történő adatátvitelre. Ez teljesen természetes – különben a jogszabálynak lehetetlen lenne betöltenie célját.

Ki felel ezeknek az adatátviteli követelményeknek a teljesítéséért? Mivel EU-s ügyfeleink jogi kapcsolatban állnak európai jogi személyünkkel, ez az adatátvitel az EGT-n belül marad. Ha azonban a Pipedrive később alfeldolgozókat vesz igénybe az EGT-n kívül, a mi feladatunk biztosítani, hogy az adatok továbbítása jogszerű legyen.

A teljes átláthatóság érdekében naprakészen tartjuk az alfeldolgozók listáját az Alfeldolgozók oldalunkon. Ez a lista azt is elmagyarázza, milyen adatok érintettek, és hogyan gondoskodtunk arról, hogy az adatok megfelelő védelmet kapjanak még az EGT elhagyása után is.

Ezt úgy biztosítjuk, hogy harmadik fél szolgáltatóink vagy az EU–USA Adatvédelmi Keretrendszer (EU‑US Data Privacy Framework, DPF) alapján tanúsítványt szereztek, vagy aláírták az Európai Bizottság adatátvitelre vonatkozó standard szerződéses záradékait velünk. Fontos azonban megjegyezni, hogy nem a DPF-re támaszkodunk mint adatátviteli mechanizmusra.

Adatokat régiók vagy országok között átadva betartjuk az alkalmazandó adatvédelmi törvényeket és szabályozásokat, többek között megfelelő védőintézkedéseket vezetünk be, mint például az adatok titkosítása és szerződéses megállapodások (DPA-k, SCC-k ahol alkalmazható), hogy biztosítsuk a megfelelést és védjük ügyfeleink adatvédelmét.

A Pipedrive mint adatkezelő

Ezenkívül a Pipedrive adatkezelőként jár el az Ön személyes adataival kapcsolatban, amelyeket webalkalmazásunk, mobilalkalmazásaink és weboldalunk felhasználójaként gyűjtünk.

Elsősorban olyan adatokat kezelünk, amelyek a szerződés Önnel való teljesítéséhez szükségesek (a GDPR 6. cikk (1) bekezdés b) pontja).

Másodszor, jogi kötelezettségeink teljesítése érdekében kezelünk adatokat (a GDPR 6. cikk (1) bekezdés c) pontja). Ez elsősorban pénzügyi adatokat és azokat az információkat foglalja magában, amelyekre a GDPR szerinti elszámoltathatósági kötelezettségeink teljesítéséhez van szükség.

Harmadszor, jogos érdekeink érvényesítése érdekében is kezeljük személyes adatait, a GDPR 6. cikk (1) bekezdés f) pontjának megfelelően.

Mik ezek a „jogos érdekek”, amikről beszélünk?

• Az alkalmazás fejlesztése, hogy új termelékenységi szinteket érhessen el
• Az Ön adatainak és a Pipedrive rendszereinek védelme
• A termékünk és annak funkcióinak felelős marketingje

Remélhetőleg ez segít Önnek hatékonyabban eligazodni az EU adatvédelmi követelményeiben.

Mit tesz a Pipedrive az általános adatvédelmi rendeletnek (GDPR) való megfelelés érdekében?

Mivel a cég európai gyökerekkel rendelkezik, a Pipedrive jó helyzetben van ahhoz, hogy megértse az EU általános adatvédelmi rendeletének a vállalkozásokra gyakorolt következményeit.

Tiszteletben tartjuk a Pipedrive felhasználóinak és azok ügyfeleinek adatvédelmi igényeit, és ennek megfelelően bevezettünk – és a jövőben is tovább fejlesztünk – a GDPR-nak megfelelő műszaki és szervezeti intézkedéseket a Pipedrive által kezelt személyes adatok védelme érdekében.

Belső folyamatok, biztonság és adatátvitel

A GDPR-megfelelés jelentős része annak biztosítása, hogy eljárások rendelkezésre álljanak, és az adatfolyamatok feltérképezettek és ellenőrizhetők legyenek. Ezért beépítettünk elemeket az alkalmazásfejlesztési ciklusunkba, hogy a funkciókat a Privacy by Design és a Security by Design elvei szerint építsük.

A nevedben kezelt ügyféladatokhoz való hozzáférés szigorúan korlátozott. Belső eljárásaink és naplóink biztosítják, hogy e tekintetben eleget tegyünk a GDPR elszámoltathatósági követelményeinek.

Kidolgoztunk egy folyamatot harmadik fél szolgáltatók bevonására és olyan eszközök alkalmazására, amelyek biztosítják, hogy ezek a harmadik felek megfeleljenek a Pipedrive és ügyfelei adatvédelmi és biztonsági iránti magas elvárásainak.

Fel vagyunk készülve az érintetti hozzáférési kérelmek teljesítésére

Az érintettek személyes adataik feletti rendelkezési joga a GDPR középpontjában áll. Ezért készek vagyunk válaszolni az érintettek törlésre, módosításra vagy adataik áthelyezésére irányuló kérelmeire.

Ez azt jelenti, hogy ügyfélszolgálati szakembereink és az őket segítő mérnökök jól felkészültek arra, hogy személyes adatait érintő ügyekben segítsenek Önnek, továbbá biztosítva azt a kiváló ügyfélszolgálati élményt, amelyhez hozzászokott.

Dokumentáció

Felhasználási feltételeink és az Adatvédelmi tájékoztatónk rendszeresen frissülnek az átláthatóság növelése és a GDPR követelményeinek való megfelelés biztosítása érdekében.

Mivel ezek a dokumentumok képezik a köztünk fennálló kapcsolat alapját, átfogó és átlátható magyarázatot kell adnunk elkötelezettségeinkről és az Ön jogairól.

Emellett folyamatosan feltérképezzük valamennyi adatkezelési tevékenységünket, hogy megfeleljünk a GDPR elszámoltathatósági követelményeinek.

Képzés

A fentieket a vállalaton belüli kiterjedt képzési tevékenységek támogatják, biztosítva, hogy az általunk bevezetett, a GDPR-nak megfelelő folyamatokat betartsák.

Munkatársaink rendszeres adatvédelmi és biztonsági képzéseken és tudatosságot növelő programokon vesznek részt, hogy ismerjék a legjobb gyakorlatokat, a jelenlegi fenyegetéseket és azt, hogyan védjék a személyes adatokat. Például az adatvédelmi és biztonsági foglalkozások a beléptetési folyamatunk szerves részét képezik, és minden osztály olyan képzést kap, amely az általuk személyes adatokkal végzett munkához igazodik.

A Pipedrive meggyőződése, hogy a GDPR-követelmények teljesítése jóval több, mint egy lista elemeinek kipipálása. Számunkra a GDPR az egyének magánéletének tiszteletben tartására és a személyes adatok kezelése iránti felelősségvállalásra vállalt elköteleződést jelenti.