Zināšanu bāze

2018. gada 25. maijs iezīmē Eiropas Savienības Vispārīgās datu aizsardzības regulas piemērošanas sākumu.

Šis jaunais tiesību akts būtiski ietekmējis ikvienu, kura darbība ietver personas datu apstrādi, kas attiecas uz ES iedzīvotājiem vai notiek ES teritorijā. Protams, personas dati ir pārdošanas darbības pamatā, tāpēc Pipedrive un mūsu lietotāji arī aktīvi strādā, lai nodrošinātu atbilstību.

Šis raksts sniedz pārskatu par ar datiem saistītajām lomām un atbildībām, ja esat izvēlējies Pipedrive kā savu CRM platformu, un izskaidros Pipedrive centienus nodrošināt atbilstību GDPR vērtībām un prasībām.

Pipedrive kā datu apstrādātājs

Cilvēki, kurus jūs Pipedrive saglabājat kā kontaktpersonas, ir jūsu datu subjekti, un par šiem personas datiem jūs tiekat uzskatīts par datu pārzinim. Mūsu Pakalpojumu sniegšanas noteikumos un Privātuma paziņojumā mēs šos datus dēvējam par klientu datiem (dati, kurus jūs apstrādājat Pipedrive).

Izmantojot Pipedrive lietotni klientu pārvaldīšanai, tas nozīmē, ka jūs esat norīkojis Pipedrive kā datu apstrādātāju, lai jūsu vārdā veiktu noteiktas apstrādes darbības.

Saskaņā ar Vispārīgo datu aizsardzības regulu (GDPR) 28. pantu, pārziņa un apstrādātāja attiecības jānosaka rakstveidā (elektroniska forma ir pieņemama arī saskaņā ar šā panta 9. punktu).

Šeit noder mūsu Datu apstrādes papildlīgums (DPA), Pakalpojumu sniegšanas noteikumi un Privātuma paziņojums. Šie trīs dokumenti veido jūsu datu apstrādes līgumu, kuros ir ietverti norādījumi, ko jūs sniedzat Pipedrive par jūsu pārziņā esošo personas datu apstrādi, kā arī tiek noteiktas abu pušu tiesības un pienākumi. Pipedrive kā datu apstrādātājs apstrādās jūsu klientu datus tikai, pamatojoties uz jūsu norādījumiem kā datu pārzinim.

Visbeidzot, ir būtiski pārbaudīt mūsu Pakalpojumu sniegšanas noteikumu 14.1. punktu, lai noskaidrotu, kura Pipedrive juridiskā persona ir jūsu līgumiskais partneris.

Visiem ES klientiem ir līgumiskas attiecības ar mūsu ES juridisko personu, kas atrodas Igaunijā.

Datu pārsūtīšana

Viens no bieži aktualizētajiem jautājumiem klientu vidū ir datu pārsūtīšana ārpus EEZ.

Vispārīgā datu aizsardzības regula (GDPR) nosaka stingras prasības datu pārsūtīšanai ārpus tās aizsardzības darbības jomas. Tas ir dabiski — citādi likumam būtu neiespējami īstenot savu mērķi.

Kas ir atbildīgs par šo datu pārsūtīšanas prasību izpildi? Tā kā mūsu ES klientiem ir juridiskas attiecības ar mūsu ES vienību, šie datu pārsūtījumi paliek EEZ ietvaros. Tomēr, ja Pipedrive vēlāk iesaista apakšapstrādātājus ārpus EEZ, mūsu uzdevums ir nodrošināt, ka dati tiek pārsūtīti likumīgi.

Mēs uzturēsim aktuālu apakšapstrādātāju sarakstu mūsu Apakšapstrādātāju lapā, lai nodrošinātu pilnīgu caurspīdīgumu attiecībā uz šiem pārsūtījumiem. Šis saraksts arī paskaidros, kādi dati ir iesaistīti un kā mēs esam nodrošinājuši to pienācīgu aizsardzību pat pēc to iziešanas no EEZ.

To mēs nodrošinām, pārliecinoties, ka mūsu trešo pušu pakalpojumu sniedzēji vai nu ir sertificēti ES–ASV Datu privātuma ietvarā, vai arī parakstījuši ES Komisijas standarta līguma klauzulas par datu pārsūtīšanu ar mums. Tomēr ir svarīgi norādīt, ka mēs nepaļaujamies uz DPF kā datu pārsūtīšanas mehānismu.

Mēs ievērojam piemērojamos datu privātuma likumus un noteikumus, pārsūtot datus starp reģioniem vai valstīm, tostarp ieviešot atbilstošus aizsardzības pasākumus, piemēram, datu šifrēšanu un līgumiskus nosacījumus (piemēram, datu apstrādes līgumi (DPA) un ES standarta līguma klauzulas (SCC), ja piemērojams), lai nodrošinātu atbilstību un aizsargātu mūsu klientu datu privātumu.

Pipedrive kā datu pārzinis

Papildus tam Pipedrive darbojas kā datu pārzinis attiecībā uz personas datiem, ko mēs vācam par jums, mūsu tīmekļa lietotnes, mobilo lietotņu un vietnes lietotāju.

Pirmkārt un galvenokārt mēs apstrādājam datus, kas ir nepieciešami, lai izpildītu mūsu līgumu ar jums (GDPR 6. panta 1. punkts b).

Otrkārt, mēs apstrādājam datus, lai izpildītu mūsu pienākumus saskaņā ar likumu (GDPR 6. panta 1. punkts c). Tas galvenokārt attiecas uz finanšu datiem un informāciju, kas mums nepieciešama, lai izpildītu mūsu atbildības pienākumus saskaņā ar GDPR.

Treškārt, mēs apstrādājam jūsu personas datus mūsu leģitīmajās interesēs, saskaņā ar GDPR 6. panta 1. punkta f.

Kas ir tās “leģitīmās intereses”, par kurām mēs runājam?

• Lietotnes uzlabošana, lai palīdzētu jums sasniegt jaunus produktivitātes līmeņus
• Nodrošināt, ka jūsu dati un Pipedrive sistēmas ir drošas un aizsargātas
• Atbildīga mūsu produkta un tā funkciju mārketinga veikšana

Cerams, ka tas palīdzēs jums efektīvāk orientēties ES datu aizsardzības prasībās.

Ko Pipedrive dara, lai atbilstu GDPR?

Kā uzņēmums ar saknēm Eiropā Pipedrive ir labi pozicionēts, lai izprastu ES Vispārējās datu aizsardzības regulas ietekmi uz uzņēmumiem.

Mēs novērtējam gan Pipedrive lietotāju, gan viņu klientu privātuma vajadzības, un tāpēc esam ieviesuši — un turpināsim uzlabot — tehniskos un organizatoriskos pasākumus saskaņā ar GDPR, lai aizsargātu ar Pipedrive apstrādātos personas datus.

Iekšējie procesi, drošība un datu pārsūtīšana

Būtiska GDPR atbilstības daļa ir nodrošināt, ka pastāv procedūras un ka datu procesi ir kartēti un auditējami. Tāpēc esam iekļāvuši elementus mūsu lietojumprogrammu izstrādes ciklā, lai izveidotu funkcijas saskaņā ar principiem Privātums pēc dizaina un Drošība pēc dizaina.

Jebkura piekļuve klientu datiem, ko mēs apstrādājam jūsu vārdā, ir stingri ierobežota. Mūsu iekšējās procedūras un žurnāli nodrošina, ka šajā jomā izpildām GDPR atbildības prasības.

Mēs esam izveidojuši procesu trešo pušu pakalpojumu sniedzēju iekļaušanai un rīku pieņemšanai, kas nodrošina, ka šīs trešās puses atbilst Pipedrive un tā klientu augstajām prasībām attiecībā uz privātumu un drošību.

Gatavība izpildīt datu subjektu piekļuves pieprasījumus

Datu subjektu tiesības uz viņu personas datiem ir GDPR centrā. Tāpēc mēs esam gatavi reaģēt uz datu subjektu pieprasījumiem dzēst, labot vai pārnest viņu datus.

Tas nozīmē, ka mūsu klientu atbalsta speciālisti un viņus atbalstošie inženieri ir labi sagatavoti, lai palīdzētu jums ar jebkādiem jautājumiem, kas saistīti ar jūsu personas datiem, papildus tam nodrošinot izcilu klientu atbalsta pieredzi, pie kuras esat pieradis.

Dokumentācija

Mūsu Pakalpojumu sniegšanas noteikumi un Privātuma paziņojums tiek regulāri atjaunināti, lai uzlabotu caurskatāmību un nodrošinātu atbilstību GDPR prasībām.

Tā kā šie dokumenti veido mūsu attiecību ar jums pamatu, mums ir jāsniedz visaptverošs un caurskatāms skaidrojums par mūsu saistībām un jūsu tiesībām.

Papildus tam mēs pastāvīgi kartējam visas mūsu personas datu apstrādes darbības, lai nodrošinātu atbilstību GDPR atbildības prasībām.

Apmācība

Visu iepriekš minēto atbalsta plašas apmācības uzņēmuma ietvaros, nodrošinot, ka ieviestās GDPR prasībām atbilstošās procedūras tiek ievērotas.

Mūsu darbinieki regulāri piedalās apmācībās un izpratnes veicināšanas programmās par privātumu un drošību, lai nodrošinātu, ka viņiem ir zināšanas par labāko praksi, aktuālajiem draudiem un par to, kā aizsargāt personas datus. Piemēram, datu privātuma un drošības sesijas ir neatņemama mūsu iekārtošanās procesa sastāvdaļa, un katra nodaļa saņem apmācības, kas pielāgotas tās darbam ar personas datiem.

Pipedrive ir stingri pārliecināts, ka GDPR prasību izpilde ir daudz vairāk nekā vienkārši atķeksēšana sarakstā. Mums GDPR nozīmē apņemšanos cienīt personu privātumu un uzņemties atbildību par personas datu apstrādi.