База знаний

25 мая 2018 года началось применение Общего регламента по защите данных Европейского союза.

Это новое законодательство существенно затронуло всех, чей бизнес связан с обработкой персональных данных резидентов ЕС или с данными, находящимися в пределах ЕС. Естественно, персональные данные лежат в основе работы в сфере продаж, поэтому Pipedrive и наши пользователи также активно работали над обеспечением соответствия требованиям.

Эта статья дает обзор ролей и обязанностей, связанных с данными, когда вы выбрали Pipedrive в качестве вашей CRM‑платформы, и объяснит, какие шаги предпринимает Pipedrive, чтобы соответствовать ценностям и требованиям GDPR.

Pipedrive в качестве обработчика данных

Лица, которых вы сохраняете в Pipedrive как контакты, являются субъектами персональных данных, и вы рассматриваетесь как контролёр данных в отношении этих персональных данных. В наших Условиях обслуживания и Политике конфиденциальности мы называем эти данные клиентскими данными (данные, которые вы обрабатываете в Pipedrive).

Использование приложения Pipedrive для управления вашими клиентами означает, что вы привлекли Pipedrive в качестве обработчика данных для выполнения определённых операций по обработке от вашего имени.

В соответствии со статьёй 28 Общего регламента по защите данных (GDPR), отношения между контролёром и обработчиком должны быть оформлены в письменной форме (электронная форма также приемлема в соответствии с пунктом (9) той же статьи).

Здесь вступают в силу наше Дополнение по обработке данных (DPA), Условия обслуживания и Политика конфиденциальности. Эти три документа выступают в качестве вашего договора об обработке данных, в котором изложены инструкции, которые вы даёте Pipedrive относительно обработки персональных данных, которыми вы распоряжаетесь, а также установлены права и обязанности обеих сторон. Pipedrive, как обработчик данных, будет обрабатывать ваши клиентские данные только на основании ваших инструкций как контролёра данных.

Наконец, крайне важно проверить раздел 14.1 наших Условий обслуживания, чтобы узнать, какое юридическое лицо Pipedrive является вашей стороной по договору.

Все клиенты из ЕС имеют договорные отношения с нашим европейским юридическим лицом, зарегистрированным в Эстонии.

Передача данных

Одна из тем, которая часто всплывает у клиентов, — передача данных за пределы ЕЭЗ (EEA).

Общий регламент по защите данных (GDPR) устанавливает строгие требования к передаче данных за пределы его сферы защиты. Это вполне естественно — иначе закону было бы невозможно выполнить свою задачу.

Кто отвечает за соблюдение этих требований при передаче данных? Поскольку наши клиенты из ЕС имеют правовые отношения с нашим европейским юридическим лицом, такая передача данных остается внутри ЕЭЗ. Однако если Pipedrive впоследствии привлекает суб-обработчиков за пределами ЕЭЗ, наша задача — обеспечить, чтобы передача данных осуществлялась законно.

Мы поддерживаем актуальный список суб-обработчиков на нашей странице «Суб-обработчики», чтобы обеспечить полную прозрачность этих передач. В этом списке также указано, какие данные затрагиваются и как мы гарантируем адекватную защиту данных даже после их выхода из ЕЭЗ.

Мы делаем это, обеспечивая, чтобы наши сторонние поставщики услуг либо были сертифицированы в рамках EU‑US Data Privacy Framework, либо подписали с нами стандартные договорные положения Европейской комиссии для передачи данных (SCC). Однако важно отметить, что мы не полагаемся на DPF в качестве механизма передачи данных.

Мы соблюдаем применимые законы и нормативные акты о защите данных при передаче данных между регионами или странами, включая внедрение соответствующих мер защиты, таких как шифрование данных и договорные соглашения (DPAs, SCCs, когда применимо), чтобы обеспечить соответствие требованиям и защитить конфиденциальность данных наших клиентов.

Pipedrive как контролёр персональных данных

Кроме того, Pipedrive выступает в качестве контролёра персональных данных, которые мы собираем о вас — пользователе нашего веб‑приложения, мобильных приложений и веб‑сайта.

Прежде всего мы обрабатываем данные, необходимые для выполнения нашего договора с вами (статья 6(1)(b) GDPR).

Во‑вторых, мы обрабатываем данные для выполнения наших обязательств в соответствии с законом (статья 6(1)(c) GDPR). Это в основном касается финансовых данных и информации, необходимой нам для выполнения наших обязанностей по отчётности в рамках GDPR.

В‑третьих, мы обрабатываем ваши персональные данные в рамках наших законных интересов в соответствии со статьёй 6(1)(f) GDPR.

Что это за «законные интересы», о которых мы говорим?

• Улучшение приложения, чтобы помочь вам достичь новых уровней продуктивности
• Обеспечение безопасности ваших данных и систем Pipedrive
• Ответственный маркетинг нашего продукта и его функций

Надеемся, это поможет вам эффективнее ориентироваться в требованиях ЕС по защите данных.

Что делает Pipedrive для соблюдения GDPR?

Как компания с европейскими корнями, Pipedrive находится в выгодном положении, чтобы понимать последствия Общего регламента ЕС по защите данных (GDPR) для бизнеса.

Мы учитываем потребности в конфиденциальности как пользователей Pipedrive, так и их клиентов и, таким образом, внедрили — и будем продолжать совершенствовать — технические и организационные меры в соответствии с GDPR для защиты персональных данных, обрабатываемых Pipedrive.

Внутренние процессы, безопасность и передача данных

Значительная часть соответствия требованиям GDPR заключается в обеспечении наличия процедур, а также в картировании и возможности аудита процессов обработки данных. Поэтому мы включили элементы в цикл разработки наших приложений, чтобы создавать функции в соответствии с принципами конфиденциальности при проектировании и безопасности при проектировании.

Любой доступ к данным клиентов, которые мы обрабатываем от вашего имени, строго ограничен. Наши внутренние процедуры и журналы обеспечивают выполнение нами требований GDPR в части подотчетности в этом отношении.

Мы разработали процесс подключении сторонних поставщиков услуг и внедрения инструментов, которые гарантируют, что эти третьи стороны соответствуют высоким ожиданиям Pipedrive и её клиентов в отношении конфиденциальности и безопасности.

Готовность выполнять запросы субъектов на доступ к их данным

Право субъектов распоряжаться своими персональными данными лежит в основе GDPR. Поэтому мы готовы реагировать на запросы субъектов данных об удалении, изменении или передаче их данных.

Это означает, что наши специалисты службы поддержки и инженеры, которые им помогают, хорошо подготовлены, чтобы помочь вам по любым вопросам, связанным с вашими персональными данными, а также обеспечить тот высокий уровень обслуживания клиентов, к которому вы привыкли.

Документация

Наши Условия обслуживания и Уведомление о конфиденциальности регулярно обновляются для повышения прозрачности и обеспечения соответствия требованиям GDPR.

Поскольку эти документы являются основой наших отношений с вами, мы обязаны предоставить всестороннее и прозрачное объяснение наших обязательств и ваших прав.

Кроме того, мы постоянно документируем все наши операции по обработке данных, чтобы обеспечить соответствие требованиям подотчётности GDPR.

Обучение

Всё вышеперечисленное поддерживается обширными обучающими мероприятиями внутри компании, которые гарантируют соблюдение внедрённых нами процессов, соответствующих требованиям GDPR.

Наши сотрудники регулярно проходят обучение и программы по повышению осведомлённости в области конфиденциальности и безопасности, чтобы быть осведомлёнными о лучших практиках, актуальных угрозах и способах защиты персональных данных. Например, занятия по защите конфиденциальности данных и безопасности являются неотъемлемой частью процесса адаптации, а каждый отдел получает обучение, адаптированное к его работе с персональными данными.

Pipedrive твёрдо убеждён, что выполнение требований GDPR — это гораздо больше, чем просто проставление галочек в списке. Для нас GDPR означает приверженность уважению конфиденциальности отдельных лиц и принятие на себя ответственности за обработку персональных данных.