ナレッジベース

2018年5月25日は、欧州連合の一般データ保護規則（GDPR）の執行開始日です。この新しい法制度は、EUの居住者に関する個人データの取り扱いに関与する企業に大きな影響を与えています。もちろん、個人データは営業において中心的な役割を果たすため、Pipedriveと私たちのユーザーも準拠を確認するために忙しく取り組んでいます。

この記事では、CRMプラットフォームとしてPipedriveを選択した場合のデータ関連の役割と責任について概説し、PipedriveがGDPRの価値観と要件に適合するための取り組みについて説明します。

Pipedriveとしてのデータプロセッサ

Pipedriveに保存された連絡先はデータサブジェクトであり、この個人データに関してあなたはデータコントローラと見なされます。 弊社の利用規約およびプライバシーポリシーでは、このデータをクライアントデータとして言及しています。

Pipedriveアプリを使用して顧客を管理することは、あなたがデータコントローラとしてPipedriveをデータプロセッサとして利用することを意味します。これにより、一部の処理活動を代行してもらうことができます。

GDPRの第28条によれば、コントローラとプロセッサの関係は書面で行われる必要があります（電子形式は、同じ条項の9項に基づいて許容されています）。

これが私たちのデータ処理付加条項（DPA）、利用規約およびプライバシーポリシーが重要です。これらの3つの文書は、あなたがPipedriveに対してコントロールする個人データの処理に関する指示を明示し、双方の権利と責任を定めるデータ処理契約として機能します。Pipedriveはデータコントローラとしてのあなたの指示に基づいて、クライアントデータを処理します。

最後に、Pipedriveとの契約関係については、弊社の利用規約の14.1節を確認することが重要です。そこで、Pipedriveのエンティティが契約上のパートナーであるかがわかります。

すべてのEUのお客様は、エストニアに拠点を置く当社のEUエンティティと契約関係を持っています。

データの転送

お客様とよく話し合われるトピックの1つは、EEA外へのデータの転送です。

GDPRは、保護範囲外へのデータ移動に厳しい要件を定めています。これは当然のことです - さもなければ、法律の目的を果たすことは不可能でしょう。

これらのデータ転送要件を満たす責任は誰にあるのでしょうか？当社のEUのお客様はEUの当社と法的な関係を持っているため、このデータ転送はEEA内にとどまります。ただし、Pipedriveがその後、EEA外のサブプロセッサを利用する場合、当社はデータの合法的な転送を確保する責任があります。

これらの転送についての情報を完全に透明にするために、当社のサブプロセッサのページに最新のサブプロセッサのリストを掲載します。このリストには、どのデータが関与しているか、EEAを離れた後もデータが適切に保護されているかが説明されています。

これを実現するために、当社のサードパーティサービスプロバイダーが、EU-USデータプライバシーフレームワークに基づいて認定を受けているか、EU委員会の標準契約条項に署名してデータ転送を行っていることを確認しています。

Pipedriveはデータコントローラーとして

さらに、Pipedriveは、当社のウェブアプリ、モバイルアプリ、ウェブサイトのユーザーであるあなたに関して収集した個人データのデータコントローラーとして機能します。

まず第一に、私たちはあなたとの契約を履行するために必要なデータを処理します（GDPR条文6(1)(b)）。

第二に、私たちは法律の義務を果たすためにデータを処理します（GDPR条文6(1)(c))。これは主に財務データやGDPRの責任の義務を果たすために必要な情報を含みます。

第三に、私たちはあなたの個人データをGDPR条文6(1)(f)に準拠して正当な利益のために処理します。

私たちが話している「正当な利益」とは何でしょうか？

• 生産性を向上させるためにアプリを改善する
• あなたのデータとPipedriveのシステムを安全に保ちます
• 製品とその機能の責任あるマーケティング
  

このようにして、EUのデータ保護要件をより良く理解していただけることを願っています。上記に関するご質問がありましたら、お気軽に[email protected]までお問い合わせください。さらに詳しく説明いたします。

パイプドライブはGDPRのために何をしていますか？

ヨーロッパを拠点とする会社であるパイプドライブは、EU一般データ保護規則が企業に与える影響について非常に把握しています。

パイプドライブのユーザーおよび顧客のプライバシーのニーズを理解し、それに対応するために、パイプドライブによって処理される個人データを保護するためのGDPRに準拠した技術的および組織的な対策を実施しています。今後も改善を重ねていきます。

内部プロセス、セキュリティ、およびデータの転送

GDPRへの準拠の大部分は、手順が整備され、データの処理がマッピングおよび監査可能であることを確認することです。したがって、プライバシーによる設計の原則に従って機能を構築するために、アプリケーション開発サイクルに要素を追加しました。

お客様に代わって処理するクライアントデータへのアクセスは厳密に制限されています。内部の手順とログにより、この点でGDPRの説明責任要件を満たすことを保証しています。

私たちは、サードパーティのサービスプロバイダをオンボードし、プライバシーとセキュリティに関するPipedriveとお客様の高い期待を満たすツールを採用するためのプロセスを確立しています。

私たちは、主体アクセス要求に対応する準備ができています

データ主体の個人データの所有権は、GDPRの核心です。したがって、私たちはデータ主体のデータを削除、変更、または転送する要求に対応する準備ができています。

つまり、私たちのカスタマーサポートスペシャリストとそれに支援するエンジニアは、あなたの個人データに関わる問題に対応するだけでなく、あなたが慣れている素晴らしいカスタマーサポート体験を提供するために、十分に準備ができています。

ドキュメンテーション

私たちの利用規約およびプライバシーポリシーは、透明性を高め、GDPRの要件を満たすために常に改訂されています。これらは私たちとの関係の基盤であるため、これらの文書で私たちの約束とあなたの権利を包括的かつ公開に説明する必要があります。

さらに、私たちはGDPRの説明責任要件を遵守するために、すべてのデータ処理活動を常にマッピングしています。

トレーニング

上記すべては、当社内の幅広いトレーニング活動によってサポートされており、私たちが導入したGDPR準拠のプロセスが守られていることを保証しています。例えば、データのプライバシーとセキュリティに関するセッションは、オンボーディングプロセスの重要な一部であり、各部門は個人データに関わる業務に合わせたトレーニングを受けます。

Pipedriveは、GDPRの要件を満たすことが単なるリストのチェックではないと確信しています。私たちにとって、GDPRは個人のプライバシーに対する尊重と個人データの取り扱いに対する責任のあるライフスタイルを表しています。