ナレッジベース

2018年5月25日は、欧州連合の一般データ保護規則の施行が始まった日です。この新しい法律は、EU居住者やEU内で個人データを扱うビジネスに関わる人々に大きな影響を与えています。当然のことながら、個人データは営業活動の中心にありますので、Pipedriveと私たちのユーザーもコンプライアンスを確認するために忙しかったです。

本記事では、CRMプラットフォームとしてPipedriveを選んだ場合のデータ関連の役割と責任について概説し、PipedriveがGDPRの価値観や要件を満たすための取り組みを説明します。

データ処理者としてのPipedrive

Pipedriveに連絡先として格納されている人々は、データサブジェクトであり、この個人データのデータコントローラとしてあなたが考えられます。私たちの利用規約およびプライバシーポリシーでは、このデータをクライアントデータと呼んでいます。

お客様を管理するためにPipedriveアプリを使用すると、あなたはPipedriveをデータ処理者として利用し、あなたの代わりに特定の処理活動を実行することになります。

GDPRの第28条によれば、コントローラと処理者の関係は書面（同条の(9)項において電子形式が受け入れられます）で行われなければなりません。

これが当社のデータ処理補足契約 (DPA)、利用規約およびプライバシーポリシーが登場します。これらの三つの文書は、あなたが管理する個人データの処理に関してPipedriveに与えている指示を明記し、両当事者の権利と責任を確立する、あなたのデータ処理契約として機能します。Pipedriveはデータコントローラとしてのあなたの指示に基づいてクライアントデータを処理するだけです。

最後に、Pipedriveエンティティがあなたの契約上のパートナーかどうかを確認するために、当社の利用規約の第14.1節をチェックすることが重要です。

すべてのEU顧客は、エストニアに拠点を置く当社のEUエンティティと契約関係を持っています。

データ転送

お客様とよく話し合うトピックの1つは、EEA（欧州経済領域）外へのデータ転送です。

GDPRは、保護の対象外のデータを移動する際の厳格な要件を定めています。これは当然のことです。さもないと、法律がその目的を果たすことは不可能です。

これらのデータ転送要件を満たす責任は誰にあるのでしょうか？当社のEUのお客様がEUのエンティティと法的関係を持っているため、このデータ転送はEEA内にとどまります。ただし、Pipedriveがその後、EEA外のサブプロセッサと契約を結ぶ場合、私たちがデータを合法的に転送する責任を負います。

これらの転送について完全に透明性を持つために、サブプロセッサページにサブプロセッサの最新リストを掲載します。このリストは、関与するデータや、EEAを離れてもデータが適切に保護される方法についても説明します。

これは、第三者サービスプロバイダがEU-USデータプライバシーフレームワークに適合したか、またはEU委員会のデータ転送に関する標準契約条項を私たちと締結したことを確認することで実現しています。

データコントローラーとしてのPipedrive

さらに、Pipedriveは、Webアプリ、モバイルアプリ、およびウェブサイトのユーザーであるあなたに関して収集した個人データのデータコントローラーとして行動します。

まず第一に、私たちはお客様との契約を履行するために必要なデータを処理します（GDPR第6(1)(b)条）。

第二に、法令遵守のためにデータを処理します（GDPR第6(1)(c)条）- これは主に財務データやGDPRの説明責任義務を果たすために必要な情報を含みます。

第三に、GDPR第6(1)(f)条に従った当社の正当な利益のために、お客様の個人データを処理します。

私たちが話している「正当な利益」とは何でしょうか？

• 生産性向上のためのアプリの改善
• お客様のデータとPipedriveのシステムが安全で保護されていることを確認する
• 製品およびその機能の責任あるマーケティング

これにより、EUのデータ保護要件をより良く理解できると思います。上記に関するご質問がある場合は、[email protected]までお問い合わせいただければ、ご説明させていただきます。

PipedriveはGDPRに対して何をしていますか？

ヨーロッパにルーツを持つ企業として、PipedriveはEU一般データ保護規則が企業に与える影響について非常に理解しています。

Pipedriveのユーザーとその顧客のプライバシーのニーズを理解しており、そのため、Pipedriveが処理する個人データを保護するためにGDPRに準拠した技術的および組織的措置を導入しており、今後も改善していく予定です。

内部プロセス、セキュリティ、およびデータ転送

GDPR準拠の大部分は、手順が整備され、データプロセスがマッピングおよび監査可能であることを確認することです。そのため、私たちはアプリケーション開発サイクルに要素を追加し、プライバシーバイデザインの原則に従った機能を構築しています。

お客様のために処理するクライアントデータへのアクセスは厳密に制限されています。当社の内部手順およびログにより、この点でGDPRの説明責任要件を満たしていることが確認されています。

サードパーティサービスプロバイダのオンボーディングプロセスを確立し、これらのサードパーティがPipedriveおよびその顧客がプライバシーとセキュリティに関して持つ高い期待を満たすツールを採用しています。

主題アクセス要求への準備

個人データの所有権はGDPRの中心にあります。したがって、データ主体からの削除、変更、またはデータの転送を要求する要求に対応する準備が整っています。

これは、お客様の個人データに関わるすべての問題において、弊社のカスタマーサポートスペシャリストとそれを支援するエンジニアがお手伝いする準備が整っていることを意味します。これに加えて、お客様が慣れ親しんでいる素晴らしいカスタマーサポート体験を提供します。

ドキュメント

私たちの利用規約およびプライバシーポリシーは、透明性を高め、文書がGDPR要件を満たすよう定期的に改訂されています。これらはあなたとの関係の基盤となるため、これらの文書で私たちの約束とあなたの権利を包括的かつ公開に説明する必要があります。

さらに、私たちは常にすべてのデータ処理活動をマッピングし、GDPRの説明責任要件を遵守できるよう努力しています。

訓練

上記すべては、会社内での包括的なトレーニング活動によって支えられており、私たちが導入したGDPRに準拠したプロセスが遵守されるようにしています。たとえば、データのプライバシーとセキュリティのセッションは、私たちのオンボーディングプロセスの重要な部分であり、各部門は、個人データを扱う業務に特化したトレーニングを受けています。

Pipedriveは、GDPRの要件を満たすことが単なるチェックボックスのチェックを入れること以上のものだと断言しています。私たちにとって、GDPRは個人のプライバシーを尊重し、個人データの取り扱いに責任を持つライフスタイルを表します。