Kunnskapsbase

25. mai 2018 markerer starten på håndhevelsen av EUs generelle forordning om databeskyttelse. Denne nye lovgivningen har hatt betydelig innvirkning på alle hvis virksomhet involverer håndtering av personopplysninger om EU-borgere eller innenfor EU. Naturligvis er personopplysninger kjernen i arbeidet med salg, så Pipedrive og våre brukere har også vært opptatt av å sikre at vi er i samsvar med regelverket.

Artikkelen gir en oversikt over datarelaterte roller og ansvar når du har valgt Pipedrive som CRM-plattform, og vil forklare Pipedrives innsats for å leve opp til verdiene og kravene i GDPR.

Pipedrive som databehandler

Folkene du lagrer i Pipedrive som kontakter er dine registrerte, og du anses som datakontroller for disse personopplysningene. I våre Vilkår for tjeneste og Personvernerklæring refererer vi til disse dataene som klientdata.

Ved å bruke Pipedrive-appen til å administrere kundene dine, betyr det at du har engasjert Pipedrive som databehandler til å utføre visse behandlingsaktiviteter på dine vegne.

I henhold til artikkel 28 i GDPR må forholdet mellom datakontroller og databehandler være skriftlig (elektronisk form er akseptabelt under underavsnitt (9) i samme artikkel).

Dette er hvor vårt Databehandlingsvedlegg (DPA), Vilkår for tjeneste og Personvernerklæring kommer inn. Disse tre dokumentene fungerer som din databehandlingskontrakt, som setter ut instruksjonene du gir til Pipedrive om behandling av de personopplysningene du kontrollerer og etablerer rettighetene og ansvaret til begge parter. Pipedrive vil kun behandle dine klientdata basert på dine instruksjoner som datakontroller.

Til slutt er det avgjørende å sjekke Seksjon 14.1 av våre Vilkår for tjeneste for å se hvilken Pipedrive-enhet som er din kontraktspartner.

Alle EU-kunder har et kontraktsforhold med vår EU-enhet, basert i Estland.

Datatransfer

Et tema som ofte kommer opp med kunder, er datatransfer utenfor EØS.

GDPR etablerer strenge krav for å flytte data utenfor sitt beskyttelsesomfang. Dette er helt naturlig – ellers ville det vært umulig for loven å oppfylle sitt formål.

Hvem er ansvarlig for å oppfylle disse kravene til datatransfer? Siden våre EU-kunder har et juridisk forhold til vår EU-enhet, forblir denne datatransfer innen EØS. Imidlertid, hvis Pipedrive deretter engasjerer underbehandlere utenfor EØS, er det vår jobb å sikre at vi overfører dataene lovlig.

Vi vil holde en oppdatert liste over underbehandlere på vår Underbehandlere side for å være helt transparente om disse overføringene. Denne listen vil også forklare hvilke data som er involvert og hvordan vi har sikret at dataene er tilstrekkelig beskyttet selv etter at de forlater EØS.

Vi gjør dette ved å sikre at våre tredjeparters tjenesteleverandører har enten sertifisert seg under EU-US Data Privacy Framework eller signert EU-kommisjonens standardkontraktsklausuler for datatransfer med oss.

Pipedrive som databehandler

I tillegg fungerer Pipedrive som databehandler for de personopplysningene vi samler inn om deg, brukeren av vår nettapp, mobilapper og nettside.

Først og fremst behandler vi data som er nødvendige for at vi skal oppfylle vår kontrakt med deg (GDPR artikkel 6(1)(b)).

For det andre behandler vi data for å oppfylle våre forpliktelser i henhold til loven (GDPR artikkel 6(1)(c)) – dette innebærer primært økonomiske data og informasjon som vi trenger for å oppfylle våre ansvarlige forpliktelser under GDPR.

For det tredje behandler vi dine personopplysninger for våre legitime interesser i samsvar med GDPR artikkel 6(1)(f).

Hva er disse “legitime interessene” vi snakker om?

• Forbedre appen for å hjelpe deg med å oppnå nye nivåer av produktivitet
• Sikre at dine data og Pipedrives systemer er trygge og sikre
• Ansvarlig markedsføring av vårt produkt og dets funksjoner
  

Forhåpentligvis hjelper dette deg med å navigere bedre i EUs krav til databeskyttelse. Hvis du har spørsmål vedrørende ovenstående, er du velkommen til å kontakte oss på [email protected], og vi vil gjøre vårt beste for å forklare ting nærmere.

Hva gjør Pipedrive for GDPR?

Som et selskap med røtter i Europa, er Pipedrive godt informert om konsekvensene som EUs generelle databeskyttelsesforordning har for bedrifter.

Vi setter pris på personvernet til Pipedrive-brukere så vel som deres kunder, og har derfor implementert – og vil fortsette å forbedre – tekniske og organisatoriske tiltak i samsvar med GDPR for å beskytte de personopplysningene som behandles av Pipedrive.

Interne prosesser, sikkerhet og datatransfer

En stor del av GDPR-overholdelse er å sikre at prosedyrer er på plass og at dataprocesser er kartlagt og kan revideres. Derfor har vi lagt til elementer i vår applikasjonsutviklingssyklus for å bygge funksjoner i samsvar med prinsippene for Personvern ved design.

Tilgangen til klientdataene som vi behandler på dine vegne er strengt begrenset. Våre interne prosedyrer og logger sikrer at vi oppfyller GDPRs ansvarlighetskrav i denne forbindelse.

Vi har etablert en prosess for å ta inn tredjeparts tjenesteleverandører og adoptere verktøy som sikrer at disse tredjepartene møter de høye forventningene som Pipedrive og kundene deres har angående personvern og sikkerhet.

Berettighet til å oppfylle forespørsel om tilgang til data

Dataemnenes eierskap til sine personopplysninger er kjernen i GDPR. Vi er derfor klare til å svare på forespørsel fra dataemner om å slette, endre eller overføre dataene deres.

Dette betyr at våre kundestøttespecialister og ingeniørene som assisterer dem er godt forberedt på å hjelpe deg i alle saker som involverer dine personopplysninger, i tillegg til å gi den fantastiske kundestøtteopplevelsen du er vant til.

Dokumentasjon

Våre Vilkår for bruk og Personvernerklæring revideres kontinuerlig for å øke gjennomsiktighet og sikre at dokumentene oppfyller GDPR-kravene. Siden disse er grunnlaget for vårt forhold til deg, må vi grundig og åpent forklare våre forpliktelser og dine rettigheter i disse dokumentene.

I tillegg kartlegger vi kontinuerlig alle våre databehandlingsaktiviteter for å kunne overholde GDPRs ansvarlighetskrav.

Opplæring

Alt ovenfor støttes av omfattende opplæringsinnsats innen selskapet, som sikrer at de GDPR-kompatible prosessene vi har satt i verk, følges. For eksempel er datasikkerhet og personvernsøkter en integrert del av vår onboarding-prosess, og hver avdeling får opplæring skreddersydd til deres arbeid med personopplysninger.

Pipedrive er fast overbevist om at oppfyllelsen av GDPR-kravene er mye mer enn bare å krysse av bokser på en liste. For oss representerer GDPR en livsstil av respekt for enkeltpersoners personvern og ansvar i håndtering av personopplysninger.