Tieni presente che questa Guida alle domande frequenti: (a) viene fornita solo a scopo informativo e non costituisce una consulenza legale; (b) rappresenta le nostre attuali offerte e pratiche Zendesk, che sono soggette a modifiche; e (c) non crea alcun impegno o assicurazione da parte di Zendesk e delle sue affiliate o sub-responsabili del trattamento. Le responsabilità e le responsabilità di Zendesk nei confronti dei suoi abbonati sono disciplinate dall’Accordo principale sui servizi (“MSA”) e dall’Accordo sull’elaborazione dei dati (“DPA”) di Zendesk e il presente documento non fa parte né modifica alcun accordo tra di noi. I termini in maiuscolo usati ma non definiti in questo documento avranno il significato fornito nell’MSA e nell’RDA.

Apprezziamo che i trasferimenti internazionali siano un'area complessa da esplorare alla luce della sentenzaSchrems II e delle nuove clausole contrattuali standard ("SCC") e speriamo che queste domande frequenti ti aiutino a rispondere alle tue domande chiave in base alle raccomandazioni del Comitato europeo per la protezione dei dati, in quanto si riferiscono all’uso dei servizi Zendesk. Per qualsiasi ulteriore domanda sull’argomento, non esitare a contattarci via email all’indirizzo euprivacy@zendesk.com.

1. Cosa dice il GDPR sui bonifici internazionali?

I dati personali coperti dal GDPR possono essere trasferiti al di fuori del SEE solo se è in atto un meccanismo approvato per garantire che il livello di protezione dei dati GDPR non sia compromesso.

Ciò significa che è importante che le organizzazioni conoscano e mappino prima tutti i trasferimenti di dati personali verso paesi non SEE (passaggio uno delle raccomandazioni dell’EDPB). 

2. Quali meccanismi di trasferimento internazionale usa Zendesk?

Le organizzazioni dovrebbero quindi identificare il meccanismo di trasferimento su cui fanno affidamento per ciascun trasferimento (passaggio due delle raccomandazioni dell’EDPB). Alcuni paesi al di fuori del SEE (ad esempio il Regno Unito) beneficiano di una decisione dell'autorità per la protezione dei dati dell'UE. Ove possibile, utilizziamo questo meccanismo.

Utilizziamo le SCC come meccanismo per i trasferimenti internazionali di dati personali tra gli abbonati Zendesk e i sub-responsabili Zendesk in paesi non SEE/non idonei. Questi forniscono garanzie contrattuali che i dati personali saranno protetti secondo uno standard GDPR al di fuori del SEE.

Usiamo le Regole aziendali vincolanti (“BCR”), che includono le protezioni Schrems II (vedi qui e qui). - per i trasferimenti internazionali tra entità Zendesk diverse. Le BCR sono politiche approvate dall’autorità di vigilanza che disciplinano le questioni relative alla protezione dei dati all’interno di un gruppo di aziende, anche per quanto riguarda i trasferimenti internazionali tra tali entità.

3. In che modo il caso Schrems II influisce sull'uso di SCC e BCR?

Gli esportatori di dati devono garantire che i paesi importatori forniscano una protezione sostanzialmente equivalente all’UE per i dati specifici, in particolare per quanto riguarda la sorveglianza governativa (passaggio tre delle raccomandazioni del EDPB). Se non viene fornito un livello di protezione sostanzialmente equivalente, per procedere con il trasferimento, l’esportatore di dati deve adottare “misure supplementari” per riportare il livello di protezione dei dati a uno standard sostanzialmente equivalente (fase quattro delle raccomandazioni dell’EDPB ). 

È importante notare che Schrems II giudizio non richiede la localizzazione dei dati o il supporto esclusivo dell’UE. Alcune aziende potrebbero considerarla una preferenza o una misura tecnica supplementare, ma non è un requisito legale esplicito.

4. Qual è la relazione tra le nuove SCC e Schrems II?

I nuovi SCC sono stati creati perché le versioni precedenti erano già diventate obsolete. Tuttavia, il Schrems II decisione ha fornito ulteriore impulso al loro sviluppo. I nuovi SCC codificano il Schrems II l’obbligo di effettuare una valutazione dell’impatto del trasferimento (“TIA”). Inoltre, richiedono agli importatori di dati di adottare misure specifiche per la protezione dei dati se ricevono una richiesta di accesso da parte del governo. Le nuove SCC fanno già parte delle ultime Zendesk DPA.

5. Che cos’è un TIA e come si completa?

Un TIA è un metodo per valutare se nel paese importatore verrà fornito un livello di protezione sostanzialmente equivalente per i dati specifici da trasferire (fasi tre e quattro delle raccomandazioni del EDPB), incluso se le leggi locali in materia di sorveglianza soddisfano le garanzie essenziali dell’UE per misure di sorveglianza, qualsiasi prova pratica pertinente della sorveglianza governativa (ad es. richieste di accesso del governo precedentemente ricevute dall’importatore) e, se necessario, misure supplementari che possono aiutare a raggiungere un livello di equivalenza essenziale.

Abbiamo creato una guida per aiutarti a completare i TIA per l’uso dei servizi Zendesk. Questa guida include dettagli sulle leggi di sorveglianza governative in ciascun Paese in cui Zendesk o i suoi sub-responsabili del trattamento possono importare i dati degli abbonati. Puoi richiedere una copia di questa guida contattando il tuo account executive Zendesk.

6. Qual è l'approccio di Zendesk alle richieste di accesso del governo e ne ha ricevute in passato?

In linea con quanto sopra, un TIA dovrebbe considerare la procedura dell’importatore di dati per rispondere alle richieste di accesso del governo, se ha ricevuto in precedenza una di queste richieste e se è effettivamente autorizzato a fornire informazioni su tali richieste.

Zendesk segue la nostra Policy sulle richieste di dati da parte del governo e i passaggi di cui all’art. 15 delle nuove SCC quando riceviamo qualsiasi richiesta di accesso da parte del governo. Ciò include chiedere all’autorità di contattare in prima istanza il titolare del trattamento dei dati e, in caso contrario, intraprendere un’attenta verifica legale della validità della richiesta. Zendesk, come molte aziende tecnologiche, riceve occasionalmente richieste dalle forze dell’ordine negli Stati Uniti e altrove, che cercano dati memorizzati da Zendesk per conto di un abbonato. Ulteriori informazioni su tali richieste ricevute da Zendesk sono disponibili nella pagina report sulla trasparenza.

7. Qual è l'approccio di Zendesk alla FISA 702 alla luce di Schrems II?

FISA 702 autorizza alcuni tipi di raccolta di intelligence straniera a fini di sicurezza nazionale. Uno speciale tribunale federale indipendente chiamato Foreign Intelligence Surveillance Court sovrintende alla raccolta di informazioni per garantire che sia condotta in modo coerente con lo statuto FISA e gli Stati Uniti Costituzione, in particolare il quarto emendamento, la protezione da perquisizioni e sequestri irragionevoli.

Zendesk è una società statunitense costituita e registrata nello Stato del Delaware, soggetta alla legge statunitense. Zendesk è un servizio di elaborazione remota (“RCS”) come definito nell’Electronic Communications Privacy Act (“ECPA”), Sezione 2711 del Titolo 18 USC quando fornisce Servizi agli abbonati. L’ECPA non consente alle forze dell’ordine di accedere ai dati memorizzati presso un provider RCS a meno che non ottengano prima un mandato, una citazione o un’ingiunzione del tribunale. I fornitori di servizi di elaborazione remota possono anche essere soggetti alla sezione 702 del Foreign Intelligence Surveillance Act ("FISA 702") se memorizzano comunicazioni elettroniche. 

Nell’ambito del TIA, a seconda delle circostanze, l’utente può concludere in primo luogo che non vi è motivo di ritenere che la norma FISA 702 verrà applicata nella pratica ai dati per i quali usa Zendesk come responsabile del trattamento, in particolare a causa del tipo di dati elaborati da Zendesk per tuo conto. A questo proposito, post Schrems II il governo degli Stati Uniti ha fornito assicurazioni: “la maggior parte delle aziende statunitensi non tratta dati di alcun interesse per le agenzie di intelligence statunitensi e non ha motivo di credere che lo faccia. Non sono coinvolti in trasferimenti di dati che presentano il tipo di rischi per la privacy che sembrano aver interessato la Corte di giustizia Schrems II.

In secondo luogo, il report sullatrasparenzadi Zendesk mostra che le possibilità che si verifichino richieste di questo tipo sono molto rare. Ciò può anche portare a concludere che non vi è motivo di ritenere che la norma FISA 702 verrà applicata in pratica ai dati per i quali usi Zendesk come responsabile del trattamento.

In terzo luogo, in qualità di titolare del trattamento, hai il diritto di controllare i registri relativi ai tuoi dati per vedere se ci sono stati accessi non autorizzati (ricordando che il personale Zendesk può accedere ai tuoi dati solo con la tua approvazione in circostanze normali). Questa misura supplementare potrebbe quindi garantire che qualsiasi possibile problema di equivalenza essenziale sia stato risolto.

8. Qual è l'approccio di Zendesk alla EO 12333 alla luce di Schrems II?

L’ordine esecutivo (EO) 12333 in realtà non autorizza gli Stati Uniti Il governo richiede alle aziende di fornire assistenza nella raccolta di informazioni di intelligence straniere e Zendesk non lo farà volontariamente. Zendesk non ha ricevuto alcun ordine di dati in blocco. Qualsiasi rischio EO 12333 dovrebbe essere risolto se un importatore di dati usa una crittografia sufficientemente potente in transito. Questo perché EO 12333 sembra implicare l’intercettazione di dati prima che raggiungano i server aziendali negli Stati Uniti. Se la crittografia è sufficientemente forte, i dati intercettati rimarranno illeggibili. 

Zendesk fornisce una crittografia adeguata a questo proposito, poiché tutte le comunicazioni con l’interfaccia utente e le API Zendesk sono crittografate tramite HTTPS/TLS standard del settore (TLS 1.2 o versione successiva) su reti pubbliche. I dati inattivi del servizio vengono crittografati in AWS usando la crittografia della chiave AES-256. Inoltre, Zendesk non ha creato backdoor per consentire alle autorità governative di aggirare le misure di sicurezza per accedere ai dati dei servizi. Tutto ciò dovrebbe quindi significare che Zendesk ha implementato misure supplementari che affrontano adeguatamente qualsiasi rischio di equivalenza essenziale creato da EO 12333.

9. Come puoi garantire che i tuoi dati siano adeguatamente protetti dalle leggi sulla sorveglianza degli altri paesi in cui Zendesk li elabora?

Come indicato sopra, Zendesk ha fornito riepiloghi delle leggi locali pertinenti nella nostra guida TIA. È possibile che tu ritenga che le leggi di questi paesi forniscano un livello di protezione dei dati sostanzialmente equivalente a quello dell’UE. In tal caso, non sarebbero necessarie ulteriori azioni per quei paesi.

Se ritieni che le leggi di uno di questi paesi non forniscano una protezione sostanzialmente equivalente per i tuoi dati, a seconda delle circostanze (ad es. tipo di dati), potresti decidere che non vi è ancora motivo di credere che le leggi verranno effettivamente applicate ai tuoi dati . Puoi anche considerare che le misure supplementari adottate da Zendesk (ad es. la nostra politica di accesso governativa e le misure di sicurezza avanzate) significano che qualsiasi problema di equivalenza essenziale viene affrontato adeguatamente.

10. Quali altri passaggi sta adottando Zendesk in risposta a Schrems II?

Apprezziamo il fatto che alcuni dei nostri abbonati siano interessati a soluzioni che forniscano un livello di conformità ancora più elevato in un panorama della privacy in continua evoluzione. Tenendo presente questo, ci impegniamo a creare sia una soluzione di crittografia avanzata che offerte più approfondite per la localizzazione dei dati.

Oltre a concentrare i nostri sforzi sulla crittografia avanzata, stiamo investendo nella creazione di maggiori funzionalità di privacy e conformità per consentire l'implementazione di policy di conservazione dei dati, una maggiore visibilità sull'accesso degli agenti, autorizzazioni granulari e strumenti aggiuntivi per ridurre al minimo i dati all'interno dell'istanza Zendesk .

Stiamo lavorando duramente a questi progetti e ti forniremo aggiornamenti a breve. Tuttavia, se c'è qualcosa di cui vorresti discutere in relazione a tali argomenti, ns Conformitàa Schrems II o per qualsiasi questione generale sulla protezione dei dati, contatta il tuo account executive Zendesk o euprivacy@zendesk.com.