Bilgi Bankası

25 Mayıs 2018, Avrupa Birliği Genel Veri Koruma Yönetmeliği'nin yürürlüğe girdiği tarihtir.

Bu yeni mevzuat, işi AB sakinleriyle ilgili veya AB içinde kişisel verileri işlemek olan herkesi önemli ölçüde etkilemiştir. Doğal olarak kişisel veriler satış çalışmalarının merkezinde yer alır; bu yüzden Pipedrive ve kullanıcılarımız uyumluluğu sağlamak için yoğun şekilde çalışmıştır.

Bu makale, Pipedrive'ı CRM platformu olarak seçtiğinizde veriyle ilgili rollere ve sorumluluklara genel bir bakış sunacak ve Pipedrive'ın GDPR'ın değer ve gereksinimlerine uygun hareket etme çabalarını açıklayacaktır.

Veri işleyici olarak Pipedrive

Pipedrive'de kişi olarak sakladığınız kişiler veri sahiplerinizdir ve bu kişisel veriler için veri sorumlusu sayılırsınız. Hizmet Şartlarımız ve Gizlilik Bildirimimiz içinde bu verileri müşteri verileri olarak adlandırıyoruz (Pipedrive içinde işlediğiniz veriler).

Müşterilerinizi yönetmek için Pipedrive uygulamasını kullanmanız, belirli işlem faaliyetlerini sizin adınıza gerçekleştirmek üzere Pipedrive'i bir veri işleyici olarak görevlendirdiğiniz anlamına gelir.

GDPR'nin 28. maddesine göre, veri sorumlusu ile veri işleyici arasındaki ilişki yazılı olarak kurulmalıdır (aynı maddenin (9) numaralı fıkrası uyarınca elektronik form da kabul edilir).

Bu noktada Veri İşleme Ek Sözleşmemiz (DPA), Hizmet Şartlarımız ve Gizlilik Bildirimimiz devreye girer. Bu üç belge sizin veri işleme sözleşmeniz, Pipedrive'e kontrolünüz altındaki kişisel verilerin işlenmesine ilişkin verdiğiniz talimatları belirleyen ve her iki tarafın hak ve sorumluluklarını ortaya koyan belgelerdir. Pipedrive, bir veri işleyici olarak, yalnızca veri sorumlusu olarak sizin talimatlarınız doğrultusunda müşteri verilerinizi işleyecektir.

Son olarak, hangi Pipedrive kuruluşunun sizin sözleşme ortağınız olduğunu görmek için Hizmet Şartlarımızın 14.1. bölümünü kontrol etmeniz çok önemlidir.

Tüm AB müşterileri, Estonya merkezli AB kuruluşumuz ile sözleşmesel bir ilişkiye sahiptir.

Veri aktarımları

Müşterilerle sıkça gündeme gelen konulardan biri, AEA (Avrupa Ekonomik Alanı) dışına yapılan veri aktarımlarıdır.

GDPR (Genel Veri Koruma Yönetmeliği), koruma kapsamı dışında veri aktarımı için katı gereklilikler getirir. Bu gayet doğaldır — aksi halde kanunun amacını yerine getirmesi mümkün olmazdı.

Bu veri aktarımı gerekliliklerini yerine getirmekten kim sorumludur? AB müşterilerimizin AB kuruluşumuzla yasal bir ilişkisi olduğundan, bu veri aktarımı AEA içinde kalır. Ancak Pipedrive daha sonra AEA dışında alt işleyicilerle çalışırsa, verileri yasal şekilde aktarmaktan bizim sorumluluğumuz olur.

Tam şeffaflık sağlamak için bu aktarımlarla ilgili olarak alt işleyicilerin güncel bir listesini Alt işleyiciler sayfasında tutacağız. Bu liste ayrıca hangi verilerin söz konusu olduğunu ve veriler AEA'dan çıktıktan sonra bile bunların nasıl yeterli şekilde korunduğunu açıklayacaktır.

Bunu, üçüncü taraf hizmet sağlayıcılarımızın ya AB-ABD Veri Gizliliği Çerçevesi (EU‑US Data Privacy Framework) kapsamında sertifikalandırılmış olmalarını ya da AB Komisyonu’nun veri aktarımı için standart sözleşmesel hükümlerini bizimle imzalamış olmalarını sağlayarak yapıyoruz. Ancak, DPF'ye veri aktarım mekanizması olarak güvenmediğimizi belirtmek önemlidir.

Verileri bölgeler veya ülkeler arasında aktarırken, uyumluluğu sağlamak ve müşterilerimizin veri gizliliğini korumak amacıyla uygun güvenlik önlemlerini —örneğin veri şifreleme ve sözleşmesel düzenlemeler (DPA'lar, gerektiğinde SCC'ler)— uygulayarak yürürlükteki veri gizliliği kanun ve düzenlemelerine uyarız.

Pipedrive veri sorumlusu olarak

Pipedrive, ayrıca web uygulamamızın, mobil uygulamalarımızın ve web sitemizin kullanıcısı olan sizin hakkınızdaki kişisel veriler için veri sorumlusu olarak hareket eder.

Her şeyden önce, sizinle yaptığımız sözleşmeyi yerine getirebilmek için gerekli olan verileri işleriz (GDPR'nin 6(1)(b) Maddesi).

İkincisi, yasal yükümlülüklerimizi yerine getirmek için veri işleriz (GDPR'nin 6(1)(c) Maddesi). Bu öncelikle mali veriler ve GDPR kapsamındaki hesap verebilirlik yükümlülüklerimizi yerine getirmek için ihtiyaç duyduğumuz bilgileri içerir.

Üçüncü olarak, meşru menfaatlerimiz doğrultusunda kişisel verilerinizi GDPR'nin 6(1)(f) Maddesine uygun olarak işleriz.

Bahsettiğimiz bu “meşru menfaatler” nelerdir?

• Uygulamayı geliştirerek verimliliğinizin yeni düzeylere ulaşmasına yardımcı olmak
• Verilerinizin ve Pipedrive’ın sistemlerinin güvenli ve emniyette olmasını sağlamak
• Ürünümüzün ve özelliklerinin sorumlu pazarlanması

Umarız bu, AB'nin veri koruma gereksinimlerini daha etkili bir şekilde anlamanıza yardımcı olur.

Pipedrive, GDPR'ye uymak için neler yapıyor?

Avrupa kökenli bir şirket olarak Pipedrive, AB Genel Veri Koruma Yönetmeliği'nin (GDPR) işletmeler üzerindeki etkilerini anlamak için iyi bir konumdadır.

Pipedrive kullanıcılarının ve onların müşterilerinin gizlilik ihtiyaçlarını önemsiyor ve bu nedenle Pipedrive tarafından işlenen kişisel verileri korumak için GDPR ile uyumlu teknik ve organizasyonel önlemleri uyguladık – ve bu önlemleri geliştirmeye devam edeceğiz.

İç süreçler, güvenlik ve veri aktarımları

GDPR uyumluluğunun önemli bir kısmı, süreçlerin yerinde olmasını ve veri süreçlerinin haritalanmış ve denetlenebilir olmasını sağlamaktır. Bu nedenle, uygulama geliştirme döngümüze özellikleri Gizlilik odaklı Tasarım ve Güvenlik odaklı Tasarım ilkelerine uygun şekilde oluşturmaya yönelik unsurlar ekledik.

Sizin adınıza işlediğimiz müşteri verilerine yapılan her türlü erişim sıkı şekilde sınırlandırılmıştır. İç prosedürlerimiz ve kayıtlarımız bu konuda GDPR hesap verebilirlik gerekliliklerini karşılamamızı sağlar.

Üçüncü taraf hizmet sağlayıcıları devreye alma ve bu üçüncü tarafların Pipedrive ile müşterilerinin gizlilik ve güvenlik konusundaki yüksek beklentilerini karşılamasını sağlayacak araçları benimseme süreci oluşturduk.

Konu erişim taleplerine uyum sağlama hazırlığı

Kişisel veriler üzerindeki veri sahiplerinin hakları GDPR'nin merkezindedir. Bu nedenle, veri sahiplerinin verilerini silme, değiştirme veya aktarma taleplerine yanıt vermeye hazırız.

Bu, müşteri destek uzmanlarımızın ve onlara yardımcı olan mühendislerin, alıştığınız mükemmel müşteri destek deneyimini sunmanın yanı sıra kişisel verilerinizle ilgili her konuda size yardımcı olmaya iyi hazırlıklı olduğu anlamına gelir.

Dokümantasyon

Hizmet Şartlarımız ve Gizlilik Bildirimimiz, şeffaflığı artırmak ve GDPR gereksinimleriyle uyumu sağlamak amacıyla düzenli olarak güncellenir.

Bu belgeler sizinle olan ilişkimizi temel oluşturduğundan, taahhütlerimizi ve haklarınızı kapsamlı ve şeffaf bir şekilde açıklamak zorundayız.

Ayrıca, GDPR'nin hesap verebilirlik gereksinimleriyle uyumu sağlamak için tüm veri işleme faaliyetlerimizi sürekli olarak haritalandırıyoruz.

Eğitim

Yukarıda bahsedilenlerin tümü, şirket içinde yürütülen kapsamlı eğitim çalışmalarıyla desteklenir ve uygulamaya koyduğumuz GDPR uyumlu süreçlerin takip edilmesi sağlanır.

Çalışanlarımız, en iyi uygulamalar, mevcut tehditler ve kişisel verilerin nasıl korunacağı konusunda bilgi sahibi olmalarını sağlamak amacıyla gizlilik ve güvenlik konularında düzenli eğitim ve farkındalık programlarına katılır. Örneğin, veri gizliliği ve güvenliği oturumları işe alım sürecimizin ayrılmaz bir parçasıdır ve her departman, kişisel verilerle ilgili yürüttükleri işe uygun şekilde hazırlanmış eğitim alır.

Pipedrive, GDPR gerekliliklerini yerine getirmenin yalnızca bir listedeki kutuları işaretlemekten çok daha fazlası olduğuna kesinlikle inanmaktadır. Bizim için GDPR, bireylerin gizliliğine saygı gösterme ve kişisel verilerin işlenmesinden sorumluluk alma taahhüdünü ifade eder.