1. Introdução

1.1 Esta Política de solicitação de dados do governo define o procedimento da Zendesk para 1) avaliação prévia dos requisitos existentes de países terceiros para a divulgação de dados pessoais ou medidas que autorizam o acesso por autoridades públicas; e 2) responder a uma solicitação recebida de uma autoridade policial ou outra autoridade governamental (juntamente com a "Autoridade solicitante") para a divulgação de dados pessoais processados pela Zendesk (doravante "Solicitação de divulgação de dados"), que está alinhada com nossas Regras corporativas vinculativas: Procedimento de solicitação de dados do governo. A Política também define o procedimento de notificação do Zendesk para casos em que tomamos conhecimento de um acesso direto (ou seja, acesso a dados pessoais sem solicitação prévia e/ou aprovação/colaboração do Zendesk) por parte de agentes da lei ou outra autoridade governamental aos dados pessoais processados por Zendesk (doravante “Acesso direto”), que está alinhado com nossas Regras corporativas vinculativas: Procedimento de solicitação de dados do governo.

1.2 Quando a Zendesk receber uma Solicitação de divulgação de dados, ela tratará essa Solicitação de divulgação de dados de acordo com esta política. Se as leis de proteção de dados aplicáveis exigirem um padrão mais alto de proteção de dados pessoais do que o exigido por esta política, a Zendesk cumprirá os requisitos relevantes dessas leis de proteção de dados aplicáveis.

 

2. Avaliação prévia

2.1 Antes de realizar transferências internacionais de dados pessoais sujeitos aos requisitos desta Política de Controlador e/ou Processador, a Zendesk realizará uma avaliação das leis e práticas do terceiro país de destino em relação aos requisitos da Solicitação de Divulgação de Dados ou medidas que autorizam o Acesso Direto (inclusive em trânsito), o que pode impedir que a Zendesk cumpra suas obrigações sob a respectiva Política de Controlador/Processador, como práticas que não respeitam a essência dos direitos e liberdades fundamentais e excedem o que é necessário e proporcional em uma sociedade democrática, como bem como as limitações e salvaguardas aplicáveis. Essa avaliação deve ser realizada à luz das circunstâncias específicas da transferência e de qualquer transferência futura prevista (incluindo finalidades, local e setor em que a transferência e o processamento relacionado ocorrem, tipos de entidades envolvidas no processamento, categorias/ formato dos dados pessoais transferidos e canais de transmissão utilizados) e determinar se são necessárias salvaguardas contratuais, técnicas ou organizacionais adicionais (seja durante a transmissão de dados pessoais ou em repouso). A avaliação (e as salvaguardas, conforme apropriado) serão comunicadas pelos membros da equipe de privacidade a todos os membros do grupo. A Zendesk monitorará razoavelmente os desenvolvimentos futuros das leis do país de destino para, conforme apropriado, considerar os impactos que essas alterações possam ter na avaliação inicial realizada. Os Membros do Grupo que atuam como importadores de dados sob esta Política de Controlador e/ou Processador devem comunicar as alterações de que tomarem conhecimento aos Membros do Grupo/clientes que atuam como exportadores de dados e ao Membro do Grupo do EEE com responsabilidades de proteção de dados delegadas.

 

2.2 Quando a Zendesk determinar que proteções adicionais devem ser implementadas para abordar as descobertas da avaliação no parágrafo 2.1, a Zendesk notificará o membro do grupo do EEE relevante com responsabilidades de proteção de dados delegadas e os membros relevantes do Conselho de privacidade ou da equipe de privacidade mais ampla serão envolvidos, a fim de refletir suas opiniões sobre essas salvaguardas.

 

2.3 A Zendesk documentará essa avaliação conforme descrito no parágrafo 2.1 e as medidas adicionais de acordo com o parágrafo 2.2 e as disponibilizará para a autoridade supervisora competente mediante solicitação.

 

2.4 Quando a Zendesk determinar que medidas complementares eficazes são necessárias para cumprir suas obrigações sob a respectiva Política de Controlador/Processador, no entanto, ela não conseguiu identificar nenhuma ou, se instruída pela autoridade supervisora competente, a equipe de privacidade se compromete a suspender as transferências relevantes (incluindo transferências para as quais a mesma avaliação e raciocínio levariam à mesma conclusão) e informar todos os membros do grupo envolvidos sobre isso. Após essa suspensão, as entidades que exportam dados pessoais sob esta Política de Controlador e/ou Processador podem encerrar essa transferência de dados pessoais e os dados pessoais, que não estavam sujeitos às proteções suficientes exigidas pela Política de Controlador/Processador, podem ser devolvidos à entidade exportadora e/ ou destruídos.

3. Princípio geral sobre solicitações de divulgação de dados

3.1 Como princípio geral, a Zendesk não divulga dados pessoais em resposta a uma Solicitação de divulgação de dados, a menos que:

 

• tem obrigação legal de fazer tal divulgação; ou

• levando em consideração a natureza, o contexto, as finalidades, o escopo e a urgência da Solicitação de divulgação de dados e os direitos e liberdades de privacidade de quaisquer indivíduos afetados, há um risco iminente de danos graves que merecem a conformidade com as Solicitações de divulgação de dados em qualquer caso.

3.2 Por esse motivo, a menos que seja legalmente proibido de fazê-lo ou haja um risco iminente de danos graves, a Zendesk notificará e consultará as autoridades de proteção de dados competentes (e, quando processar os dados pessoais em nome de um cliente, o cliente) para atender à Solicitação de divulgação de dados.

 

4. Tratamento de uma solicitação de divulgação de dados

4.1 Se um membro do grupo do Zendesk receber uma Solicitação de divulgação de dados, o destinatário da solicitação deve encaminhá-la ao jurídico imediatamente após o recebimento, indicando a data em que foi recebida, além de outras informações que possam ajudar a equipe jurídica a responder à solicitação . Da mesma forma, se um membro do grupo do Zendesk tomar conhecimento do acesso direto, ele deve comunicar isso à equipe jurídica imediatamente, indicando a data em que ocorreu, além de quaisquer outras informações que possam ajudar a equipe jurídica a responder de acordo com esta política.

 

4.2 A solicitação da autoridade solicitante não precisa ser feita por escrito, sob uma ordem judicial ou mencionar a lei de proteção de dados para se qualificar como uma solicitação de divulgação de dados. Qualquer Solicitação de divulgação de dados, no entanto, deve ser notificada à equipe jurídica para revisão.

 

4.3 A equipe jurídica da Zendesk analisará cuidadosamente cada Solicitação de divulgação de dados e Acesso direto caso a caso. A equipe jurídica entrará em contato com a equipe de privacidade e com um advogado externo, conforme apropriado, para determinar a natureza, o contexto, as finalidades, o escopo e a urgência da solicitação de divulgação de dados/acesso direto e sua validade de acordo com as leis e princípios de cortesia internacional aplicáveis, para identificar se pode ser necessária uma ação para contestar a Solicitação de divulgação de dados/acesso direto, inclusive por meio de um recurso para a autoridade solicitante e/ou buscando medidas provisórias com vistas a suspender os efeitos da solicitação até que a autoridade judicial competente tenha decidido sobre seus méritos ou exigir a divulgação de acordo com a lei processual aplicável, conforme apropriado, e/ou notificar o cliente e/ou as autoridades competentes de proteção de dados de acordo com o parágrafo 4.

 

5. Aviso de solicitação de divulgação de dados/acesso direto

5.1 Aviso ao cliente

 

5.1.1 Se uma solicitação disser respeito a dados pessoais dos quais um cliente é o responsável pelo tratamento, a Zendesk normalmente solicitará que a Autoridade solicitante faça a Solicitação de divulgação de dados diretamente ao cliente relevante. Se a autoridade solicitante concordar, a Zendesk oferecerá suporte ao cliente de acordo com os termos de seu contrato para responder à Solicitação de divulgação de dados.

 

5.1.2 Se isso não for possível (por exemplo, porque a Autoridade Solicitante se recusa a fazer a Solicitação de divulgação de dados diretamente ao cliente ou não conhece a identidade do cliente), a Zendesk notificará e fornecerá ao cliente os detalhes da Divulgação de dados Solicitar antes de divulgar quaisquer dados pessoais, a menos que seja legalmente proibido de fazê-lo ou onde exista um risco iminente de dano grave que proíba a notificação prévia.

 

5.1.3 Se a Zendesk tomar conhecimento de um acesso direto relacionado a dados pessoais do qual um cliente é o responsável pelo tratamento, a Zendesk notificará e fornecerá ao cliente os detalhes desse acesso direto, a menos que seja legalmente proibido de fazê-lo ou onde haja um risco iminente de existe um dano que proíba essa notificação.

 

5.2 Aviso às autoridades competentes de proteção de dados

 

5.2.1 Se a Autoridade Solicitante estiver em um país que não oferece um nível adequado de proteção para os dados pessoais em relação a essa solicitação, de acordo com as leis de proteção de dados aplicáveis, a Zendesk também colocará a solicitação em espera para notificar e consultar as autoridades de proteção de dados competentes, a menos que seja legalmente proibido ou onde exista um risco iminente de dano grave que proíba a notificação prévia.

 

5.2.2 Se a autoridade policial ou outra autoridade governamental que realizou um acesso direto estiver em um país que não oferece um nível adequado de proteção para os dados pessoais em relação a essa solicitação, de acordo com as leis de proteção de dados aplicáveis, a Zendesk também notificará e consultará as autoridades de proteção de dados competentes, a menos que seja legalmente proibido ou onde exista um risco iminente de dano grave que proíba a notificação prévia.

 

5.2.3 Nos casos em que a Zendesk for proibida de notificar as autoridades competentes de proteção de dados e/ou suspender a solicitação, a Zendesk envidará seus melhores esforços (levando em consideração a natureza, o contexto, as finalidades, o escopo e a urgência da solicitação) para informar o Solicitante Autoridade/autoridade que realizou o acesso direto sobre suas obrigações sob a lei de proteção de dados aplicável e para obter o direito de renunciar a essa proibição. Esses esforços podem incluir solicitar à autoridade solicitante que realizou o acesso direto que coloque a solicitação em espera, para que a Zendesk possa consultar as autoridades competentes de proteção de dados ou permitir a divulgação para o pessoal específico no cliente da Zendesk, e pode também, em circunstâncias apropriadas, inclui buscar uma ordem judicial para esse efeito. A Zendesk manterá e, mediante solicitação razoável, fornecerá a seus clientes e às autoridades competentes de proteção de dados um registro por escrito dos esforços que realiza, de acordo com suas práticas estabelecidas de manutenção de registros comerciais, a menos que seja legalmente proibido de fazer isso.

 

6. Relatórios de transparência

6.1 A Zendesk se compromete a preparar um relatório semestral (um “Relatório de Transparência”), que reflita o número e o tipo de Solicitações de divulgação de dados recebidas nos seis meses anteriores, conforme limite da lei aplicável ou ordem judicial. A Zendesk publicará o Relatório de Transparência em seu site e disponibilizará o relatório mediante solicitação para as autoridades competentes de proteção de dados.

 

7. Transferências em massa

7.1 Em nenhum caso, nenhum Membro do Grupo transferirá dados pessoais para uma Autoridade Solicitante de maneira massiva, desproporcional e indiscriminada que vá além do que é necessário em uma sociedade democrática.