ナレッジベース

2018年5月25日は、欧州連合の一般データ保護規則の施行が始まる日です。この新法律は、EU市民の個人データを扱う事業に関わる人々やEU内で個人データを扱う人々に大きな影響を与えました。当然ながら、個人データは営業において中心的な役割を果たしているため、Pipedriveと私たちのユーザーも法令順守を確認するために忙しかったです。

この記事では、PipedriveをCRMプラットフォームとして選択した場合におけるデータ関連の役割と責任について概説し、PipedriveがGDPRの価値観と要件に適合する努力について説明します。

データプロセッサーとしてのPipedrive

Pipedriveに連絡先として保存されている人物はあなたのデータ主体であり、この個人データについてはあなたがデータコントローラーと見なされます。弊社の利用規約およびプライバシーポリシーにおいて、このデータをクライアントデータとして言及しています。

お客様を管理するためにPipedriveアプリを使用すると、Pipedriveはあなたに代わって特定の処理活動を実施するデータプロセッサーとして従事します。

GDPRの第28条によれば、コントローラーとプロセッサーとの関係は書面で（同じ条項の9項において電子形式も受け入れられます）確立される必要があります。

ここで、私たちのデータ処理付加契約書（DPA）、利用規約およびプライバシーポリシーが重要となります。これらの3つの文書はあなたのデータ処理契約として機能し、Pipedriveがあなたがコントロールする個人データの処理についての指示を定め、両者の権利と責任を確立します。Pipedriveは、データコントローラーとしてのあなたの指示に基づいてクライアントデータを処理します。

最後に、Pipedriveのどのエンティティが契約パートナーであるかを確認するために、弊社の利用規約の第14.1項を必ずご確認ください。

EUのお客様はすべて、エストニアに拠点を置く弊社のEUエンティティとの契約関係を持っています。

データ転送

お客様からよく問われるトピックの1つは、EEA（欧州経済領域）外へのデータ転送です。

GDPRは、データを保護範囲外に移動する際の厳格な要件を定めています。これは当然のことです - そうでなければ、法律がその目的を果たすことは不可能でしょう。

これらのデータ転送要件を満たす責任者は誰でしょうか？ EUのお客様がEUのエンティティとの法的関係を持っているため、このデータ転送はEEA内に留まります。しかし、Pipedriveがその後EEA外のサブプロセッサーを利用する場合、データが合法的に転送されるようにするのは私たちの仕事となります。

私たちは、これらの転送に完全に透明性を持たせるために、当社のサブプロセッサーページにサブプロセッサーの最新リストを掲載します。このリストは、関連するデータや、そのデータがEEAを離れても適切に保護されている方法についても説明します。

これは、第三者サービスプロバイダーがEU-USデータプライバシーフレームワークに認定されているか、EU委員会のデータ転送のための標準契約条項に署名していることを確認することで実珅します。

データコントローラーとしてのPipedrive

さらに、Pipedriveは、我々がWebアプリ、モバイルアプリ、ウェブサイトのユーザーであるあなたに関して収集する個人データのデータコントローラーとして機能します。

まず第一に、私たちはあなたとの契約を果たすのに必要なデータを処理します（GDPR第6条1項b）。

次に、法令に基づく義務を果たすためのデータを処理します（GDPR第6条1項c）。これは主に、GDPRの下での説明責任を果たすために必要な財務データや情報が関わります。

第三に、GDPR第6条1項fに従って、あなたの個人データを私たちの正当な利益のために処理します。

私たちが話している「正当な利益」とは何でしょうか？

• アプリを改善して、新しい生産性レベルに到達するのに役立ちます
• あなたのデータとPipedriveのシステムが安全で保護されていることを確認します
• 製品とその機能の責任あるマーケティング
  

これがEUのデータ保護要件をより良く理解するのに役立つことを願っています。上記に関する質問がある場合は、[email protected]までお気軽にお問い合わせください、そして私たちは事柄をさらに説明するために最善を尽くします。

Pipedrive は GDPR に対して何をしていますか？

ヨーロッパのルーツを持つ企業として、Pipedrive は欧州連合の一般データ保護規則が企業に与える影響について非常に詳しいです。

Pipedrive のユーザーとその顧客のプライバシーのニーズを理解し、そのために GDPR に適合する技術的及び組織的な対策を実施しており、引き続き改善しています。

内部プロセス、セキュリティ、およびデータ転送

GDPRの遵守の大部分は、手順が整備され、データプロセスがマッピングおよび監査可能であることを確認することです。そのため、私たちはアプリケーション開発サイクルに要素を追加し、デザインによるプライバシーの原則に従って機能を開発しています。

私たちがお客様の代理で処理するクライアントデータへのアクセスは厳密に制限されています。内部手順やログにより、この点におけるGDPRの説明責任要件を満たすようにしています。

第三者サービスプロバイダーを導入し、Pipedriveおよびその顧客がプライバシーとセキュリティに関して期待している高い基準を満たすことを確認するツールを採用するためのプロセスを確立しています。

主体アクセスリクエストへの対応準備

個人データの所有権はGDPRの中心にあります。したがって、私たちはデータ主体のデータの削除、変更、または移行に対応する準備が整っています。

これは、お客様サポートの専門家とそれを支援するエンジニアが、お客様が慣れ親しんでいる素晴らしいカスタマーサポート体験を提供することに加え、個人データに関するすべての問題でお手伝いする準備が整っていることを意味します。

ドキュメンテーション

私たちの利用規約とプライバシーポリシーは透明性を高め、文書がGDPRの要件を満たすよう定期的に見直されています。これらはあなたとの関係の基礎であるため、これらの文書で私たちのコミットメントとあなたの権利を包括的かつ率直に説明する必要があります。

さらに、GDPRの説明責任要件を遵守するために、私たちは常にすべてのデータ処理活動をマッピングしています。

トレーニング

上記すべては、当社内での広範囲なトレーニングによって支援されており、我々が実施しているGDPRに準拠したプロセスが守られていることを確認しています。たとえば、データのプライバシーとセキュリティのセッションは、オンボーディングプロセスの重要な一部であり、各部門は個人データに関わる作業に特化したトレーニングを受けています。

Pipedriveは、GDPRの要件を満たすことが、単なるリスト内のチェックを確認する以上のものであると堅く信じています。私たちにとって、GDPRは、個人のプライバシーを尊重し、個人データの取り扱いに責任を持つライフスタイルを表しています。