Basis Pengetahuan

25 Mei 2018 menandai dimulainya penegakan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.

Peraturan baru ini telah berdampak signifikan terhadap siapa pun yang usahanya melibatkan penanganan data pribadi tentang penduduk Uni Eropa atau yang berada di dalam Uni Eropa. Secara alami, data pribadi merupakan inti dari pekerjaan di bidang penjualan, sehingga Pipedrive dan para pengguna kami juga sibuk memastikan bahwa kami mematuhi ketentuan tersebut.

Artikel ini memberikan gambaran tentang peran dan tanggung jawab terkait data ketika Anda memilih Pipedrive sebagai platform CRM Anda dan akan menjelaskan upaya Pipedrive untuk memenuhi nilai-nilai dan persyaratan GDPR.

Pipedrive sebagai pemroses data

Orang-orang yang Anda simpan di Pipedrive sebagai kontak adalah subjek data Anda, dan Anda dianggap sebagai pengendali data atas data pribadi ini. Dalam Ketentuan Layanan dan Pemberitahuan Privasi kami, kami menyebut data ini sebagai data klien (data yang Anda proses di dalam Pipedrive).

Menggunakan aplikasi Pipedrive untuk mengelola pelanggan Anda berarti Anda telah menunjuk Pipedrive sebagai pemroses data untuk melakukan kegiatan pemrosesan tertentu atas nama Anda.

Menurut Pasal 28 GDPR, hubungan antara pengendali dan pemroses harus dibentuk secara tertulis (bentuk elektronik juga dapat diterima berdasarkan ayat (9) dari pasal yang sama).

Di sinilah Addendum Pemrosesan Data (DPA), Ketentuan Layanan dan Pemberitahuan Privasi kami berperan. Ketiga dokumen ini berfungsi sebagai kontrak pemrosesan data Anda, yang menetapkan instruksi yang Anda berikan kepada Pipedrive mengenai pemrosesan data pribadi yang Anda kendalikan dan menetapkan hak serta tanggung jawab kedua belah pihak. Pipedrive, sebagai pemroses data, hanya akan memproses data klien Anda berdasarkan instruksi Anda sebagai pengendali data.

Terakhir, sangat penting untuk memeriksa Bagian 14.1 dari Ketentuan Layanan kami untuk melihat entitas Pipedrive mana yang merupakan mitra kontraktual Anda.

Semua pelanggan UE memiliki hubungan kontraktual dengan entitas UE kami yang berbasis di Estonia.

Transfer data

Salah satu topik yang sering muncul dengan pelanggan adalah transfer data di luar Wilayah Ekonomi Eropa (EEA).

GDPR menetapkan persyaratan yang ketat untuk mentransfer data di luar cakupan perlindungannya. Hal ini wajar — jika tidak, hukum tidak akan dapat memenuhi tujuannya.

Siapa yang bertanggung jawab untuk memenuhi persyaratan transfer data ini? Karena pelanggan UE kami memiliki hubungan hukum dengan entitas UE kami, transfer data ini tetap berada dalam EEA. Namun, jika Pipedrive kemudian melibatkan sub-prosesor di luar EEA, tugas kami adalah memastikan bahwa kami mentransfer data secara sah.

Kami akan menjaga daftar sub-prosesor yang diperbarui di halaman Sub-prosesor kami untuk memastikan transparansi penuh mengenai transfer ini. Daftar ini juga akan menjelaskan data apa yang terlibat dan bagaimana kami memastikan bahwa data tersebut terlindungi secara memadai bahkan setelah meninggalkan EEA.

Kami melakukan ini dengan memastikan bahwa penyedia layanan pihak ketiga kami telah disertifikasi di bawah EU-US Data Privacy Framework atau menandatangani klausul kontraktual standar Komisi UE untuk transfer data dengan kami. Namun, penting untuk dicatat bahwa kami tidak bergantung pada DPF sebagai mekanisme transfer data.

Kami mematuhi undang-undang dan peraturan perlindungan data yang berlaku saat mentransfer data antar wilayah atau negara, termasuk menerapkan langkah-langkah pengamanan yang sesuai, seperti enkripsi data dan perjanjian kontraktual (DPA, SCC bila berlaku), untuk memastikan kepatuhan dan melindungi privasi data klien kami.

Pipedrive sebagai pengendali data

Selain itu, Pipedrive bertindak sebagai pengendali data untuk data pribadi yang kami kumpulkan tentang Anda, pengguna aplikasi web, aplikasi seluler, dan situs web kami.

Pertama-tama, kami memproses data yang diperlukan agar kami dapat melaksanakan kontrak kami dengan Anda (GDPR Pasal 6(1)(b)).

Kedua, kami memproses data untuk memenuhi kewajiban kami berdasarkan hukum (GDPR Pasal 6(1)(c)). Hal ini terutama melibatkan data keuangan dan informasi yang kami perlukan untuk memenuhi kewajiban pertanggungjawaban kami di bawah GDPR.

Ketiga, kami memproses data pribadi Anda untuk kepentingan sah kami sesuai dengan GDPR Pasal 6(1)(f).

Apa itu "kepentingan sah" yang kami maksud?

• Meningkatkan aplikasi untuk membantu Anda mencapai tingkat produktivitas yang lebih tinggi
• Memastikan bahwa data Anda dan sistem Pipedrive aman dan terlindungi
• Pemasaran produk dan fitur-fiturnya secara bertanggung jawab

Semoga ini membantu Anda memahami persyaratan perlindungan data Uni Eropa dengan lebih baik.

Apa yang dilakukan Pipedrive untuk mematuhi GDPR?

Sebagai perusahaan yang berakar di Eropa, Pipedrive berada pada posisi yang baik untuk memahami implikasi Peraturan Perlindungan Data Umum Uni Eropa (GDPR) bagi bisnis.

Kami menghargai kebutuhan privasi pengguna Pipedrive serta pelanggan mereka dan, oleh karena itu, telah menerapkan – dan akan terus meningkatkan – langkah-langkah teknis dan organisasi sesuai dengan GDPR untuk melindungi data pribadi yang diproses oleh Pipedrive.

Proses internal, keamanan, dan transfer data

Bagian penting dari kepatuhan terhadap GDPR adalah memastikan bahwa prosedur sudah diterapkan dan bahwa proses data dipetakan serta dapat diaudit. Oleh karena itu, kami telah memasukkan elemen ke dalam siklus pengembangan aplikasi kami untuk membangun fitur sesuai dengan prinsip Privacy by Design dan Security by Design.

Setiap akses terhadap data pelanggan yang kami proses atas nama Anda dibatasi secara ketat. Prosedur internal dan log kami memastikan bahwa kami memenuhi persyaratan akuntabilitas GDPR dalam hal ini.

Kami telah menetapkan proses penerimaan penyedia layanan pihak ketiga dan mengadopsi alat yang memastikan bahwa pihak ketiga tersebut memenuhi harapan tinggi yang dimiliki Pipedrive dan pelanggannya terkait privasi dan keamanan.

Kesiapan untuk memenuhi permintaan akses subjek data

Kepemilikan subjek data atas data pribadi mereka merupakan inti dari GDPR. Oleh karena itu, kami siap menanggapi permintaan subjek data untuk menghapus, mengubah, atau mentransfer data mereka.

Ini berarti spesialis dukungan pelanggan kami dan para insinyur yang membantu mereka sangat siap untuk membantu Anda dalam segala hal yang melibatkan data pribadi Anda, selain memberikan pengalaman dukungan pelanggan yang luar biasa yang biasa Anda dapatkan.

Dokumentasi

Our Ketentuan Layanan and Pemberitahuan Privasi kami secara berkala diperbarui untuk meningkatkan transparansi dan memastikan kepatuhan terhadap persyaratan GDPR.

Karena dokumen-dokumen ini menjadi dasar hubungan kami dengan Anda, kami harus memberikan penjelasan yang komprehensif dan transparan tentang komitmen kami dan hak-hak Anda.

Selain itu, kami terus memetakan semua aktivitas pemrosesan data kami untuk memastikan kepatuhan terhadap persyaratan akuntabilitas GDPR.

Pelatihan

Semua hal di atas didukung oleh upaya pelatihan yang luas di dalam perusahaan, sehingga proses yang kami terapkan yang sesuai dengan GDPR dijalankan.

Karyawan kami mengikuti program pelatihan dan peningkatan kesadaran secara berkala tentang privasi dan keamanan untuk memastikan mereka memahami praktik terbaik, ancaman terkini, dan cara melindungi data pribadi. Sebagai contoh, sesi mengenai privasi dan keamanan data merupakan bagian penting dari proses orientasi kami, dan setiap departemen menerima pelatihan yang disesuaikan dengan pekerjaan mereka yang melibatkan data pribadi.

Pipedrive sangat yakin bahwa memenuhi persyaratan GDPR jauh lebih dari sekadar mencentang kotak pada daftar. Bagi kami, GDPR merupakan komitmen untuk menghormati privasi individu dan mengambil tanggung jawab atas penanganan data pribadi.