База знань

25 травня 2018 року розпочалася реалізація Загального регламенту Європейського Союзу з захисту даних. Цей новий закон відчутно вплинув на всіх тих, чия діяльність пов'язана з обробкою особистих даних європейських резидентів або в ЄС. Як очевидно, особисті дані є основою роботи в продажах, тому Pipedrive, а також наші користувачі, також працювали над забезпеченням відповідності.

Ця стаття надає огляд ролей і відповідальностей, пов'язаних з даними, коли ви обрали Pipedrive як вашу платформу CRM, і пояснює зусилля Pipedrive у відповідність цінностям та вимогам Загального регламенту про захист даних.

Pipedrive як обробник даних

Люди, яких ви зберігаєте в Pipedrive як контакти, є вашими суб’єктами даних, і ви вважаєтеся контролером даних для цих особистих даних. У наших Умовах надання послуг та Політиці конфіденційності, ми зводимо ці дані до даних клієнта.

Користування додатком Pipedrive для управління вашими клієнтами означає, що ви залучили Pipedrive в якості обробника даних для виконання певних обробних дій від вашого імені.

Згідно зі статтею 28 Загального регламенту про захист даних, стосунки між контролером та обробником повинні бути узаконені письмово (електронна форма прийнятна згідно з пунктом (9) тієї самої статті).

Тут відіграє свою роль наше Додаткова угода з обробки даних (DPA), Умови надання послуг та Політика конфіденційності. Ці три документи служать як ваш договір з обробки даних, встановлюючи інструкції, які ви надаєте Pipedrive щодо обробки особистих даних, якими ви керуєте, та закріплюючи права та обов’язки обох сторін. Pipedrive буде обробляти ваші дані клієнта лише на підставі ваших інструкцій, як контролер даних.

Нарешті, важливо перевірити Розділ 14.1 наших Умов надання послуг, щоб дізнатися, з якою сутністю Pipedrive укладено угоду.

Усі клієнти ЄС мають контрактні стосунки з нашою європейською сутністю, яка базується в Естонії.

Передача даних

Одна з тем, яка часто виникає з клієнтами, - це передача даних за межі Європейського економічного простору.

Загальний регламент про захист даних встановлює строгі вимоги для переміщення даних за межі його області захисту. Це зовсім природно - в іншому випадку було б неможливо виконати його мету.

Хто відповідає за виконання цих вимог з передачі даних? Оскільки наші європейські клієнти мають юридичні стосунки з нашою європейською юридичною особою, ця передача даних залишається в межах ЄЕП. Однак, якщо Pipedrive пізніше залучає підпідрядників за межі ЄЕП, нашим обов'язком є забезпечення того, що ми передаємо дані законно.

Ми будемо підтримувати актуальний список підпідрядників на нашій сторінці підпідрядників, щоб повністю прозоро висвітлити ці передачі. Цей список також пояснить, які дані залучені та як ми забезпечили, що дані адекватно захищені навіть після виходу за межі ЄЕП.

Ми робимо це, переконавшись, що наші постачальники послуг третіх осіб або сертифіковані за рамками Рамкової угоди про конфіденційність даних між ЄС та США, або підписали стандартні контрактні умови Європейської комісії для передачі даних з нами.

Pipedrive як контролер даних

Додатково, Pipedrive виступає як контролер даних для особистих даних, які ми збираємо про вас, користувача нашого веб-додатка, мобільних додатків та веб-сайту.

По-перше, ми обробляємо дані, які необхідні для виконання нашого контракту з вами (стаття 6(1)(b) РДЗВ).

По-друге, ми обробляємо дані для виконання наших обов'язків згідно з законом (стаття 6(1)(c) РДЗВ) - це в основному стосується фінансових даних та інформації, яку нам потрібно надати для виконання наших обов'язків у відповідності до РДЗВ.

По-третє, ми обробляємо ваші особисті дані з метою наших законних інтересів згідно зі статтею 6(1)(f) РДЗВ.

Про які саме "законні інтереси" ми говоримо?

• Покращення додатка для допомоги вам досягти нових рівнів продуктивності
• Переконання в безпеці та надійності ваших даних та систем Pipedrive
• Відповідальний маркетинг нашого продукту та його функцій
  

Сподіваємося, це допоможе вам краще розібратися в вимогах ЄС щодо захисту даних. Якщо у вас є питання щодо вищезазначеного, не соромтеся звертатися до нас за адресою [email protected], і ми зробимо все можливе, щоб пояснити речі докладніше.

Що робить Pipedrive для GDPR?

Як компанія з корінням в Європі, Pipedrive добре ознайомлені з можливими наслідками, які має Загальний регламент про захист персональних даних ЄС для підприємств.

Ми розуміємо потреби конфіденційності користувачів Pipedrive, а також їхніх клієнтів, і відтак використовуємо – і будемо продовжувати вдосконалювати – технічні та організаційні заходи відповідно до GDPR для захисту персональних даних, обробляємо Pipedrive.

Внутрішні процеси, безпека та передача даних

Велика частина відповідності GDPR полягає в забезпеченні існування процедур та відображенні та перевірці процесів обробки даних. Тому ми додали елементи до циклу розробки нашої програми для створення функцій відповідно до принципів Приватності за дизайном.

Будь-який доступ до даних клієнта, які ми обробляємо від вашого імені, строго обмежений. Наші внутрішні процедури та журнали забезпечують виконання вимог з обліку GDPR у цьому відношенні.

Ми розробили процес для включення постачальників сторонніх послуг та використання інструментів, які гарантують, що ці сторонні сторони відповідають високим вимогам, якими користуються Pipedrive та його клієнти щодо конфіденційності та безпеки.

Готовність виконувати запити суб'єктів доступу до даних

Власність суб'єктів з відношенню до їх персональних даних є основою ЗГРП. Тому ми готові відповісти на запити суб'єктів даних щодо видалення, зміни або передачі їх даних.

Це означає, що наші спеціалісти з обслуговування клієнтів і інженери, які надають їм допомогу, готові допомогти вам у будь-яких питаннях, пов'язаних з вашими персональними даними, а також забезпечити чудовий досвід обслуговування клієнтів, який ви звикли отримувати.

Документація

Наші Умови надання послуг та Політика конфіденційності постійно переглядаються для забезпечення прозорості та відповідності вимогам Загального регламенту з питань захисту персональних даних (GDPR). Оскільки ці документи є основою наших відносин з вами, нам необхідно вичерпно та відкрито пояснити наші зобов'язання та ваші права в цих документах.

Крім того, ми постійно картуємо всі наші діяльності з обробки даних з метою відповідності вимогам з питань обліковості за GDPR.

Тренінг

Все вищевказане підтримується широкими навчальними зусиллями всередині компанії, що гарантує дотримання GDPR-сумісних процесів, які ми створили. Наприклад, сесії з конфіденційності та безпеки даних є невід'ємною частиною нашого процесу онбордингу, і кожний відділ проходить навчання, пристосоване до їхньої роботи з особистими даними.

Pipedrive наполегливо вважає, що відповідність вимогам GDPR - це набагато більше, ніж просте відмічання пунктів у списку. Для нас GDPR означає стиль життя поваги до приватності осіб та відповідальності у роботі з особистими даними.