ナレッジベース

トピック
Pipedriveとしてのデータプロセッサ
データ転送
Pipedriveはデータコントローラーとして
PipedriveがGDPRのために行っていることは何ですか?
内部プロセス、セキュリティ、およびデータ転送
主体エクセス要求への適合の準備
ドキュメンテーション
トレーニング

この記事は機械翻訳を使用して作成されました。

Pipedrive and GDPR: パイプドライブとGDPR

JT
Jenny Takahara, 2024年1月19日

2018年5月25日は、ヨーロッパ連合一般データ保護規則(General Data Protection Regulation)の執行開始日です。この新しい法律は、EUの居住者またはEU内で個人データを取り扱う事業に関わるすべての人々に大きな影響を与えました。当然、個人データは営業活動の中心にありますので、Pipedriveと私たちのユーザーも、法令遵守を確認するために忙しく取り組んでいます。

本記事では、CRMプラットフォームとしてPipedriveを選んだ場合の、データ関連の役割と責任について概説し、PipedriveのGDPRの価値観と要件に対する取り組みについて説明します。


Pipedriveとしてのデータプロセッサ

Pipedriveに格納されている連絡先は、データ主体とみなされ、この個人データのデータコントローラとみなされます。 利用規約およびプライバシーポリシーでは、このデータをクライアントデータとして言及しています。

Pipedriveアプリを使用して顧客を管理するということは、特定の処理活動を代行するためにデータプロセッサとしてのPipedriveを利用することを意味します。

GDPRの第28条によると、コントローラとプロセッサの関係は書面で明示する必要があります(同一条の第9項では電子形式も受け入れられます)。

これが私たちのデータ処理付加条項(DPA)利用規約およびプライバシーポリシーの役割です。これらの3つの文書は、Pipedriveに対してコントロールしている個人データの処理に関する指示を明示し、両者の権利と責任を確立するデータ処理契約として機能します。Pipedriveは、データコントローラとしてのあなたの指示に基づいてクライアントデータを処理します。

最後に、契約上のパートナーであるPipedriveエンティティがどのようなものかを確認するために、利用規約の14.1項を確認することが重要です。

すべてのEUの顧客は、エストニアに拠点を置くEUのエンティティと契約上の関係を持っています。


データ転送

顧客との間でよく取り上げられる話題の一つは、EEA(欧州経済領域)外へのデータ転送です。

GDPR(一般データ保護規則)は、データを保護の対象範囲外に移動させるための厳しい要件を定めています。これは当然のことです-そうでなければ、法律の目的を果たすことが不可能であるからです。

これらのデータ転送要件を満たす責任は誰にあるのでしょうか?EUのお客様とはEUのエンティティとの法的関係があり、このデータ転送はEEA内に留まります。ただし、Pipedriveはその後、EEA外のサブプロセッサを利用する場合には、データが適法に転送されることを確保する責任があります。

これらの転送についての詳細な情報は、サブプロセッサページで透明性を確保するために最新の情報を提供します。このリストには、どのデータが関与しているか、データがEEAを離れた後も十分に保護されているかが説明されています。

これを実現するために、第三者サービスプロバイダーがEU-USデータプライバシーフレームワークに基づいて認証を受けたか、EU委員会の標準契約条項に署名していることを確認しています。


Pipedriveはデータコントローラーとして

さらに、Pipedriveは、ウェブアプリ、モバイルアプリ、ウェブサイトのユーザーであるあなたの個人データのデータコントローラーとして機能します。

まず第一に、私たちはあなたとの契約を履行するために必要なデータを処理します(GDPR第6条(1)(b))。

第二に、私たちは法的義務を果たすためにデータを処理します(GDPR第6条(1)(c))- これは主にファイナンシャルデータや、GDPRの説明責任義務を果たすために必要な情報です。

第三に、私たちはGDPR第6条(1)(f)に基づいて、あなたの個人データを私たちの合法的な利益のために処理します。

私たちが話している「合法的な利益」とは何でしょうか?

  • 生産性の向上を助けるためにアプリを改善する
  • あなたのデータとPipedriveのシステムが安全であることを確認する
  • 製品とその機能の責任あるマーケティング

おそらく、これによりEUのデータ保護要件をより適切に理解できるでしょう。上記に関するご質問がある場合は、お気軽に[email protected]までお問い合わせください。さらに説明いたします。


PipedriveがGDPRのために行っていることは何ですか?

Pipedriveはヨーロッパを拠点とする会社であり、EU一般データ保護規則が企業にもたらす影響について非常に理解しています。

Pipedriveのユーザーおよびその顧客のプライバシーのニーズを非常に重視しており、それに応じて、Pipedriveによって処理される個人データを保護するために、GDPRに準拠した技術的および組織的な手法を導入し、改善し続けています。


内部プロセス、セキュリティ、およびデータ転送

GDPRのコンプライアンスの大部分は、手続きが整っていることとデータ処理がマッピングおよび監査可能であることを確保することです。したがって、私たちはアプリケーション開発サイクルに要素を追加して、プライバシーバイデザインの原則に基づいて機能を構築しています。

お客様の代わりに私たちが処理するクライアントデータへのアクセスは厳密に制限されています。内部手続きとログにより、私たちはこの点でGDPRの説明責任要件を満たすことを保証しています。

私たちはサードパーティのサービスプロバイダをオンボードするためのプロセスを確立し、これらのサードパーティがPipedriveとその顧客がプライバシーとセキュリティに関して持つ高い期待を満たすことを保証するツールを採用しています。


主体エクセス要求への適合の準備

個人データの所有権はGDPRの核心です。したがって、データ主体のデータの削除、変更、または移転に対する要求に応答する準備ができています。

これは、当社のカスタマーサポートスペシャリストとそれを支援するエンジニアが、お客様の個人データに関連するすべての問題に対応するために十分に準備されていることを意味します。また、素晴らしいカスタマーサポート体験を提供すると同時に、お客様が慣れ親しんでいることです。


ドキュメンテーション

当社の利用規約およびプライバシーポリシーは、常に透明性を高め、GDPRの要件を満たすために定期的に見直されます。これらは、私たちとの関係の基礎であるため、これらのドキュメントで私たちのコミットメントとあなたの権利を包括的かつ明示的に説明する必要があります。

さらに、私たちは常にすべてのデータ処理活動をマッピングし、GDPRに対する説明責任の要件を満たすことができるよう努めています。


トレーニング

上記すべては、当社内での広範なトレーニングの取り組みによって支えられています。私たちが実施しているGDPRに準拠したプロセスが遵守されるようにします。たとえば、データのプライバシーとセキュリティに関するセッションは、オンボーディングプロセスの重要な一部であり、各部門は個人データを扱う仕事に特化したトレーニングを受けます。

Pipedriveは、GDPRの要件を満たすことは単にリストのボックスをチェックすること以上のものと確信しています。私たちにとって、GDPRは個人のプライバシーを尊重し、個人データを取り扱う際の責任を持つライフスタイルを表しています。

この記事は役に立ちましたか?

はい

いいえ

関連記事

ご質問がありますか?

お問い合わせ