Tietotekniikka

Pipedrive ja GDPR – Miten EU:n tietosuoja-asetusta noudatetaan CRM:ssä?

Pipedrive GDPR. Miten EU:n tietosuoja-asetus on huomioitu CRM-järjestelmässä?

Ei hätää, Pipedrive on huomioinut GDPR-vaatimukset, eli yleisen eurooppalaisen tietosuoja-asetuksen. Pipedrive ei tallenna dataasi Euroopan talousalueen ulkopuolelle ja asiakkaasi tiedot on poistettavissa heidän sitä pyytäessään.

Mitä Pipedrive lupaa GDPR-asetukseen liittyen?

EU:ssa toimivien Pipedrive-käyttäjäyritysten data tallennetaan Saksassa sijaitseville palvelimille. Esimerkiksi yhdysvaltalaisten Pipedrive-käyttäjäyritysten tiedot tallennetaan Pohjois-Amerikkaan, täysin erilleen eurooppalaisesta GDPR:n piiriin kuuluvasta datasta.

Jako menee siis sen mukaan, missä sinun yrityksesi sijaitsee – ei omien asiakkaidesi sijainnin mukaan.

Pipedrive lupaa, että se ei siirrä asiakkaidensa dataa Euroopan talousalueen (ETA) ulkopuolelle. GDPR-aiheisessa kirjoituksessa myös todetaan, että mahdollisessa siirrossa ETA-alueen ulkopuolelle Pipedrive on vastuussa lakiasioiden täyttämisestä.

Pipedriven englanninkielisissä ehdoista kohdassa ”Protection of Client Data” eli ”Asiakasdatan turvaaminen” luetellaan erikseen mitkä toimijat prosessoivat Pipedriven dataa ja mihin käyttötarkoitukseen.

Kirjoitushetkellä listauksessa ovat muiden ohessa AWS (varmuuskopiot), Google (esim. osoitteiden muuttaminen Google Maps-linkeiksi) ja suomalainen Leadfeeder (myyntiliidien luonti).

Miten kaikki yhteyshenkilöt poistetaan Pipedrivesta pyydettäessä?

GDPR-asetukseen liittyy termi ”Oikeus tulla unohdetuksi”. Asiakkaaseen yhdistettävää dataa tallentuu Pipedriveen organisaatioiden, yhteyshenkilöiden, kauppojen ja aktiviteettien muodossa.

Helpoimmillaan tietojen poistamiseen oikeudet saanut Pipedrive-käyttäjä poistaa yhteyshenkilön näin helposti:

Yhteyshenkilön poistaminen GDPR-vaatimusten täyttämiseksi on helppoa Pipedrivessa.
Yhteyshenkilön poistaminen GDPR-vaatimusten täyttämiseksi on helppoa Pipedrivessa.

Joskus yhteyshenkilö halutaan jättää tietojärjestelmään esimerkiksi anonymisoidulla nimellä myyntiraportoinnin pitämiseksi ajantasalla. Mikäli muistiinpanoissa ei ole mitään yksilöivää, henkilön nimeksi voisi muuttaa vaikkapa ”GDPR”. Puhelinnumero, sähköposti ja osoite tulisi kuitenkin poistaa.

Yhteyshenkilön poistaminen ei poista häneen liittyviä organisaatioita, kauppoja tai aktiviteetteja.

Kiintoisaa kyllä, käyttöliittymästä poistettu Pipedrive-yhteyshenkilö ei poistu CRM-järjestelmän tietokannasta kokonaan, vaan on löydettävissä pienellä kikalla edelleen. Yhteyshenkilö on jopa palautettavissa takaisin aktiiviseksi. Toiminnon on tarkoitus suojata tiedon poistamiselta vahingossa.

Miten GDPR-data poistetaan pysyvästi Pipedrivesta?

Lähetin Pipedriven tukeen sähköpostia kysyäkseni datan poistamisesta pysyvästi. Vastaus kysymykseeni tuli noin 10 minuutissa ja kuului suomennettuna näin:

Insinöörimme voivat pyynnöstä poistaa datan pysyvästi tietokannasta. Meillä on joitakin asiakkaita, jotka ovat käyttäneet [Pipedriven sisäänrakennettuja] automaatio-ominaisuuksia sähköpostin lähettämiseksi tukeen automaattisesti sisältäen poistettavien tietojen tunnisteet ja pyynnön poistaa data tililtä pysyvästi.

Datan poistaminen pysyvästi Pipedrivesta on siis mahdollista.

Esimerkki GDPR-prosessista Pipedrivessa

Sopivaan GDPR-tietojenpoistoprosessiin vaikuttaa ainakin poistopyyntöjen määrä ja asiakkaasta tallennetut tiedot.

Yksittäinen yhteyshenkilö on helppo poistaa heti ja esimerkiksi henkilön kaupat voi käydä käsipelillä läpi. Selkeästi GDPR:n vastaiset muistiinpanot on syytä poistaa, tietokentät tyhjentää ja otsikot muuttaa.

GDPR-data tulisi poistaa ilman ”aiheetonta viivästystä”. Suositukseni jatkuville pyynnöille on käsitellä tietojen poistopyynnöt kerran viikossa tai kuukaudessa.

Vaativan massapoiston voisi teknisesti toteuttaa seuraavalla tavalla. Muista varmistaa GDPR-prosessisi oikeellisuus lainsäädäntöön perehtyneestä lähteestä:

  1. Luo yhteyshenkilölle mukautettu kenttä nimeltä ”GDPR Poistettava”
  2. Merkitse ”GDPR Poistettava” kenttään ”Kyllä” aina poistopyynnön tullessa
  3. Voit tehdä kauppoihin, organisaatioihin ja aktiviteetteihin suodattimen, joka näyttää vain ne rivit, joihin liittyy ”GDPR Poistettava” henkilö. Tapauksesta riippuen voit tehdä jotain seuraavista:
    1. Poistaa henkilöön liittyvät kaupat, organisaatiot ja aktiviteetit
    2. Tarkistaa, sisältävätkö henkilöön liittyvät tiedot poistettavaa dataa
    3. Massamuokkauksella vaihtaa henkilöön liittyvien tietojen otsikot ja muut olennaiset kentät vaikkapa tekstiin ”GDPR”
  4. Vie muistiinpanot Pipedrivesta Excel-tiedostona. Tyhjennä tai muokkaa arkaluonteiset muistiinpanot ja tuo takaisin Pipedriveen alla olevan kuvan mukaisesti.
  5. Lopuksi GDPR-unohdettavat yhteyshenkilöt joko poistetaan tai data anonymisoidaan. Tämäkin onnistuu massamuokkauksella ”GDPR Poistettava” kenttää hyödyntäen.
Näin voisit vaihtaa valittujen kauppojen Työnimikkeen eli Otsikon kerralla tekstiin ”GDPR Kauppa”.
Vaihe 3.3. Näin voisit vaihtaa valittujen kauppojen Työnimikkeen eli Otsikon kerralla tekstiin ”GDPR Kauppa”.
Tuo GDPR-asetuksen mukaiseksi päivitetyt muistiinpanot takaisin Pipedriveen. Tarvitset vain muistiinpanon Pipedrive-tunnuksen ja muistiinpanon sisällön.
Vaihe 4. Tuo GDPR-asetuksen mukaiseksi päivitetyt muistiinpanot takaisin Pipedriveen. Tarvitset vain muistiinpanon Pipedrive-tunnuksen ja muistiinpanon sisällön.

GDPR-prosessia voidaan automatisoida Pipedriven automaatioilla, Pipedriven rajapintaa hyödyntäen tai Excel-makroilla tietojen viennin jälkeen.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *