Recommendation: map daten flows and implementieren an aligned privacy program across alle teams, with rolle access controls that scale and maintain angemessenes security. The goal is to document purposes, storage timelines, and legal bases to demonstrate compliance with HubSpot's Privacy Policy.

The folgenden provisions emphasize wichtige safeguards and eu-verordnung alignment. They cover data minimization, basis for processing, transparency, and the rights to access and widerrufen consent where applicable.

Practical steps: audit data imports (import) from verschiedenen sources; categorize daten into verschiedenen categories; apply angemessenes security measures; define grundlagen for retention; implement a consent workflow to widerrufen; keep privacy notices up to date with den neuesten requirements under eu-verordnung.

Stay proactive: establish quarterly reviews of processing activities across alle teams, define rolle responsibilities, and ensure data subjects can exercise their rights under eu-verordnung.

What data HubSpot collects under the privacy policy

Check your privacy settings now to know exactly what data HubSpot collects and how it is used. The policy explains in sprache how information flows, eingehalten with applicable laws, and gewährt you control over your data. Use this knowledge to schützen your privacy while using the service and to align with Erie-style practices in ourer policy language.

HubSpot collects data in several categories. Profile data includes name, email, job title, company and contact details such as phone number. Company data covers industry, size and location, enabling you to segment accounts and tailor communications. Behavioral data arises from form submissions, chats, emails and other interactions, and the system creates records (erstellt) of these activities. Usage data captures pages visited, feature usage, timestamps and technical signals like IP address and device information. The service also stores content you create or upload (notes, attachments, comments) and technical data such as browser type and language preference (sprache) to optimize the experience. Additional data may come from integrations and andere Quellen to support workflows and reporting. Diese data können verarbeitet werden, um Funktionen bereitzustellen und Analysen zu ermöglichen. data processing happens across verschiedene prozesse, um konsistente Ergebnisse zu liefern, und HubSpot bearbeitet diese Informationen gemäß den Richtlinien.

HubSpot may share data with service providers under auftragsverarbeitung agreements. This option helps keep prozesse aligned with same protections (gleiche standards) across tools and platforms. In jurisdictions that require oversight, datenschutzbeauftragte reviews ensure compliance. Weitere partnerquellen können Daten erhalten, aber nur gemäß vertraglicher Vereinbarungen und Sicherheitsmaßnahmen, die den Schutz der information gewährleisten. Zusätzlich werden Daten, soweit nötig, zur Support- oder Transaktionsabwicklung ebenfalls verarbeitet und bearbeitet, um Services sauber bereitzustellen.

Retention rules determine how long data können retained, based on policy settings, legal obligations and your choices. You können jederzeit exportieren, berichtigen oder löschen (falls supported) und wissen, welche Daten HubSpot über Sie gespeichert hat. Die Rechteklauseln listen den Weg, Ihre data abzurufen oder zu korrigieren, und weisen darauf hin, dass Sie ebenfalls Anfragen an Ihre Organisation oder den datenschutzbeauftragten richten können. Die datenschutzrelevanten Prozesse stellen sicher, dass gleiche Schutzstufen eingehalten werden, unabhängig davon, welche Funktion oder welches Modul Sie nutzen. Wenn Sie Unterstützung benötigen, können Sie sich an den datenschutzbeauftragte Ihrer Region wenden, um weitere Informationen zu erhalten.

Um die Datenerhebung zu minimieren, nutzen Sie die verfügbaren optionen in den Datenschutzeinstellungen: Deaktivieren Sie nicht essenzielle Tracking-Features, passen Sie Cookie-Einstellungen an und wählen Sie optionen, um bestimmte dates zu begrenzen. Damit behalten Sie die kontrolle über den Gebrauch Ihrer Daten, können Bereiche einschränken und sicherstellen, dass nur notwendige information gesammelt werden. Wenn weitere Fragen auftreten, überprüfen Sie die policies erneut, und beachten Sie, dass sämtliche operationen in unserer sprache klar beschrieben sind, damit Sie Entscheidungen treffen, die Ihrem verhalten entsprechen und Ihre daten schützen. Ebenfalls beachten Sie, dass die auftragsverarbeitung konformen Partnerdatenverarbeitungsgesetze eingehalten werden müssen.

Why HubSpot processes data: roles, purposes, and lawful bases

Define roles, purposes, and lawful bases for every kategorie of data HubSpot processes, and map den источник to each processing activity to ensure accountability.

Roles and responsibilities

HubSpot acts as a data processor for customers who are the data controllers. Between ihnen and HubSpot, welche data are processed, welche Zwecke are pursued, and welche rechtlichen Grundlagen apply are defined by contract gemäß Artikel 28 dsgvo. The customer ist verpflichtet to issue an Aufforderung when a data subject requests access, rectification, erasure, or data portability; HubSpot assists under the controller's instructions and responds within the timelines required by dsgvo. HubSpot erstellt and maintains a Record of Processing Activities to demonstrate compliance, gemäß Artikel 30, and is verpflichtet to provide a copy of processing details to the controller upon request. In bestimmte Fälle (Ausnahme) processing may be limited or paused to protect the rights and interests (Interesse) of individuals. HubSpot does not process data selbst for purposes outside the controller's instructions. This clarity helps uphold Werte and trust in der Zusammenarbeit.

Purposes and lawful bases

Purposes include CRM, marketing automation, customer support, analytics, and security. For each kategorie of data (kontaktinformationen, Interaktionen, history, service tickets), HubSpot processes only to achieve the stated Zweck and only as instructed. The legal bases include: contract necessity (Artikel 6(1)(b) dsgvo), legitimate interests (Artikel 6(1)(f) dsgvo) balancing against individuals' rights, legal obligation (Artikel 6(1)(c) dsgvo), and, where applicable, consent (Artikel 6(1)(a) dsgvo). Processing must be gemäß dieser Bases and not exceed what is necessary for the purposes; retention follows legal requirements and, where possible, is minimized via anonymization or aggregation (Ausnahme). HubSpot provides garantien such as encryption in transit and at rest, access controls, and incident response to protect the purposes. Data subjects can exercise rights by making an Aufforderung to the controller, and HubSpot supports these requests in accordance with the contract. This approach serves the interests (Interesse) of customers while respecting individuals' rights.

Data retention and deletion: timelines and how to request removal

Data retention timelines and what is stored

Submit a deletion request via formulareseinsendungen to the zuständig Datenschutzstelle to initiate deletion. HubSpot implements a retention schedule that speichert kontaktdatensatz and related kommunikation records, including aktive kommunikations-abonnements, as long as the data serves the original purpose or until you withdraw consent. If the purposes are fulfilled, or if you explicitly request removal, data wird gelöscht oder anonymisiert in accordance with dsgvo. When gesetzliche anforderungen or vertragliche vereinbarungen apply, retention kann fallen outside the immediate deletion window, but only to the extent required by law. Backups may retain anonymisierte copies, while identifying fields are entfernt over time to schützen user privacy. Neue nutzerinnen are subject to the same framework, and retention ends when the account is closed or you opt out of kommunikation.

Requesting deletion: steps and tips

To proceed, vornehmen a clear deletion request via formulareseinsendungen to the zuständig privacy team. Specify das kontaktdatensatz and any associated information tied to kommunikations-abonnements and communication records. The process funktioniert when you provide precise scope and verifiable identity. If you need to adjust the scope, the team konnte confirm and implement the changes. After submission, you receive an acknowledgement within 5 business days; the actual deletion is typically completed within 30 days, unless anforderungen or gesetzliche pflichten require additional time. Zuständig will confirm when the kontaktdatensatz fällt, and you can expect the data not to appear in active systems thereafter. If you subscribed to kommunikations-abonnements, you will be removed from future kommunikation automatically, and you can set neue preferences to manage what you receive.

Cross-border transfers and Subprocessors: what you need to know

Audit your data flows today: identify datenübertragung to third countries and list Subprocessors, including locations, service types, and data categories. Capture the rechtlicher basis for each transfer and document the measures that prevent unauthorized access during transmission. Ensure möglich cross-border transfers are supported by SCCs or equivalent safeguards.

Laut datenschutzgesetzen, cross-border transfers require robust safeguards. Use standard contractual clauses (SCCs) or an adequacy decision and perform a transfer impact assessment for transfers to jurisdictions without an adequacy ruling. Ensure the receiving party maintains equivalent privacy protections and that the datensubjekte rights remain enforceable. Identify offensichtlich gaps in notices and close them.

Datensubjekte deserve transparency: kommunizieren the transfer rationale and be ready to erklären the basis in plain language. If consent or another rechtlicher basis applies, document it, and maintain a abgemeldet option and logs so datensubjekte can withdraw consent from future transfers.

Subprocessors require ongoing governance: vorzunehmen due diligence before engaging any new Subprocessor, verify security controls, data location, and breach notification timelines. The contract should ensure dsgvo-konform processing and give you visibility into changes of subprocessors; Sollen you reserve the right to audit and terminate if protections falter, especially for großem data volumes.

Tools support compliance: use dsgvo-funktionen to manage consent and access requests, automate notifications, and maintain breitgefasste privacy controls. kommunizieren clearly to datensubjekte about transfers, keep the privacy notices up to date laut datenschutzgesetzen, außerdem document how you will respond to data subject requests and breach warnings.

Practical privacy settings: configuring HubSpot CRM for privacy control

Access controls and data minimization

To start, einrichten a role-based access model in HubSpot CRM so only users with a genuine need can view personenbezogene data. Apply the least-privilege rule, restrict admin rights, and enable property-level permissions for sensitive fields. This setup is leicht to maintain with quarterly audits and a concise report that shows who accessed which data.

Between teams (zwischen) document the data map for which properties contain personenbezogene data, and outline the sachen involved in data handling. Keep it in a simple programm. Communicate this map to all users (kommunizieren) and require them to lesen and acknowledge the policy. For sensitive fields, flag them for manual review (manuell) when access is requested, and implement a klar process beim vorzunehmen to prevent exposure.

When configuring, ensure geltend rules in diesen policies are reflected in HubSpot, and prepare a simple process to delete or anonymize data on request. Use a lightweight automation to trigger data erasure beim vorzunehmen and guarantee timely action after a data subject request.

Processing agreements and governance

Coordinate with your rechtsabteilung to review vereinbar bestimmungen for data processing and the auftragsverarbeitung terms with HubSpot. Ensure a datenschutzbeauftragte is designated and that their sitz oversees the privacy program. Attach or reference a current auftragsverarbeitung agreement and keep it updated as data flows between controllern and processors evolve.

Maintain a clear programm for data lifecycle: capture, retention, export, and deletion. The onboarding abschluss includes a privacy checklist, the datenschutzbeauftragte's responsibilities, and milestone metrics. For diese policy cycles, ensure data subject rights can be exported or deleted via HubSpot's tools, and avoid gaps where diese zulässigen Anfragen nicht geltend gemacht werden; weder ignored noch deprioritized.

Finally, document the procedures to kommunizieren with data subjects and internal teams. Ensure das team reads the policy and knows how to respond when a request arrives. This keeps the privacy controls in HubSpot practical and responsive, and it reduces manual work without sacrificing accountability.

Managing data subject rights in HubSpot: access, correction, deletion, and export

Start with a concrete recommendation: implement a documented, rights-ready workflow that verifies identity, locates all relevant records, and delivers a complete export within 30 days. On der Seite, unsere plattform zentralisiert die such- und exportprozesse, sodass verarbeiten von daten aus mehreren objekten (mehrerer Kontakte, tickets, deals) konsistent bleibt. Define the eigentlich notwendige verwendung und die zwecke der daten, damit der empfänger versteht, warum die daten erhoben wurden und wie sie genutzt werden (nutzung). Wir informieren die betroffenen nutzer während des gesamten prozesses, berufen die zuständigen teams ein und fügen ein aktenvermerk hinzu (hinzufügen). Der dokumentierte rechtliche rahmen (rechtlich) sorgt dafür, dass kostenfrei und unbedingt transparente antworten erfolgen, sobald updates vorliegen. Wer die anfrage erstellt (erstellt), legt die prüfkriterien fest, eingeholt verifizierungsdaten werden, und der kunde erhält eine klare, nachvollziehbare antwort, die das interesse des dateninhabers respektiert. Ein solcher prozess ermöglicht es, datenschutzrechte effizient zu gewähren und gleichzeitig die unternehmensinteressen zu schützen (interesse, interessen).

Access and export

Handle access and export requests with a tight, auditable flow. For each request, identify the datenquellen in HubSpot (kontakte, listen, form submissions, interactions) und konsolidieren sie in einer einzigen, maschinenlesbaren datei. Provide the export in a standard format (CSV or JSON), detailing welche daten erhoben wurden, wann sie erstellt oder geändert wurden, und welche bereiche daraufhin konvertiert oder ausgeschlossen wurden. Store the request path on der seite, including alle updates, nachvollziehbare schritte und der status der verarbeitung. Wenn der nutzer eine kopie wünscht, sichern Sie eine vollständige darstellung der beliebigen verarbeitung, einschließlich der berechtigungen und der daten, die der plattform zugänglich sind. Stellen Sie sicher, dass der export kostenfrei bereitgestellt wird, und geben Sie klare anweisungen, wie der empfänger die daten zur weiteren nutzung verwenden darf (eine formal konforme datenübermittlung).

Correction and deletion

Provide clear paths for data correction and deletion, and apply changes across all betroffenen objekten innerhalb HubSpot. If a subject requests to korrigieren information, update the record immediately and propagate changes through any verarbeiten links (aktivieren verwandte listen, notizen, attachments). For deletion requests, verify die identität, then remove oder anonymisieren die daten gemäß rechtlich zulässigen rahmen; ensure that records in connected objekten (z. B. tickets oder deals) are ebenfalls angepasst, damit sie keine widersprüchlichen daten mehr anzeigen. Log all actions (updates) und erstellen Sie einen nachvollziehbaren audit trail. For every deletion, confirm that die daten nicht mehr erheben oder anzeigen, und dokumentieren Sie die festgelegten schritte, damit wahren interesse der betroffenen person gewahrt bleibt. Wenn Daten auf einer plattform gespeichert sind, stellen Sie sicher, dass die entfernt oder abgegrenzt werden, während die integrität des systems erhalten bleibt (welches entspricht unseren unfair-standards).

  1. Validate the request and confirm identitäts-prüfung (eingeholt).
  2. Apply corrections across all relevanten hubspot-objekte und verweisen auf datenquelle (seite, plattform).
  3. Exécuter la suppression ou la pseudonymisation lorsque cela est approprié (gratuitement, si cela est autorisé par la loi).
  4. Mettre à jour le protocole de processus avec la date, les champs concernés et le statut (recueillis, créés, établis).
  5. Informer la personne qui a fait la demande de ce qui a été modifié et des données qui restent (intérêt, légal).