请注意此常见问题指南：(a) 仅供参考，不构成法律建议； (b) 代表我们当前的 Zendesk 产品和实践，可能会有变； (c) 不会造成 Zendesk 及其关联公司或分包处理者的任何承诺或保证。Zendesk 对用户的责任和义务受 Zendesk 主服务协议（“MSA”）和数据处理协议（“DPA”）控制，本文档不是或不会修改我们之间任何协议的一部分。本文档中使用但未定义的大写术语应具有 MSA 和 DPA 中规定的含义。

我们了解到，根据 Schrems II 的判断和新的标准合同条款（“SCC”），国际传输是一个复杂的领域。我们希望此常见问题解答能解答您在 欧洲数据保护委员会建议中的关键问题。，因为它们关系到您对 Zendesk 服务的使用。如果您对此主题有任何其他疑问，请随时发送电邮到 euprivacy@zendesk.com。

1.GDPR 对国际转接有什么规定？

只有在已批准的机制就位以确保 GDPR 级别的数据保护不受破坏的情况下，才可以将 GDPR 所涵盖的个人数据传输到欧洲经济区以外。

这意味着各组织必须先了解并映射所有向非欧洲经济区国家/地区的个人数据传输（EDPB 建议中的第一步）。 

2.Zendesk 使用哪些国际转接机制？

然后，组织应确定每次转接所依赖的转接机制（EDPB 建议的第二步）。一些欧洲经济区以外的国家（例如英国）可从欧盟数据保护机构的决定中受益。我们会尽可能使用此机制。

我们使用 SCC 作为 Zendesk 用户与非欧洲经济区国家/地区的 Zendesk 子处理者之间的国际个人数据传输机制。这些提供了合同保证，确保个人数据在欧洲经济区以外的地区受到 GDPR 标准的保护。

我们使用具有约束力的公司规则（以下简称“BCR”），其中包括 Schrems II 保护措施 —— 请参阅 此处 和此处 - 用于不同 Zendesk 实体之间的国际转接。BCR 是经监管机构批准的政策，用于管理公司集团内部的数据保护事务，包括这些实体之间的国际传输。

3.Schrems II 案例对 SCC 和 BCR 的使用有什么影响？

数据导出者需要确保导入国为 特定数据提供与欧盟基本相同的保护。，尤其是关于政府监测的信息（EDPB 建议中的第 3 步）。如果未提供基本等效的保护级别，那么要继续传输，数据导出者必须实施“补充措施”，以便将数据保护级别恢复到基本等效的标准（EDPB 建议中的第 4 步） ）。 

需要注意的是， schrems II 判断不需要数据本地化或仅限欧洲的支持。一些公司可能将此视为一种偏好或补充性技术措施，但这并非明确的法律要求。

4.新的 SCC 和 Schrems II之间是什么关系？

新 SCC 的出现是因为旧版本已经过时。但是， schrems II 的决定进一步推动了它们的发展。新的 SCC 将 schrems II 进行转接影响评估（“TIA”）的要求。法规还要求数据导入者在收到政府访问请求时采取特定的数据保护步骤。新的 SCC 已包含在最新的 Zendesk DPA。

5.什么是 TIA，如何完成？

TAA 是一种用于评估导入国家/地区是否会为 正在传输的特定数据提供基本等效级别的保护 （EDPB 建议的第 3 步和第 4 步）的方法，包括当地政府监测法律是否满足 欧盟关于数据传输的基本保证。监测措施，任何与政府监测相关的实际证明（例如，入口商以前收到的政府查阅请求），以及如有必要，可能有助于达到基本等效水平的补充措施。

我们创建了一份指南，以帮助您完成 TTI，以便使用 Zendesk 服务。本指南详细介绍了 Zendesk 或其子处理者可能导入订阅者数据的各个国家/地区的政府监测法律。您可以联系您的 Zendesk 业务经理，索取本指南。

6.Zendesk 如何处理政府访问请求？过去是否收到过任何此类请求？

根据上述内容，TIA 应考虑数据导入者回复政府访问请求的流程是什么，他们以前是否收到过任何此类请求，他们是否真的被允许提供关于任何此类请求的信息。

Zendesk 遵循我们的 政府数据请求政策 以及 Art 中的步骤。当我们收到任何政府访问请求时，删除 15 的新 SCC。其中包括让主管机构首先联系数据控制者，如果联系不上，则对该请求的有效性进行仔细的法律审查。与许多科技公司一样，Zendesk 偶尔也会收到来自美国和其他地方执法机构的请求，要求其代表订阅者查找其存储的数据。关于 Zendesk 已收到的此类请求的更多信息，请参阅 透明度报告。

7.根据 Schrems II，Zendesk 将采取什么方法来处理 FISA 702 ？

FISA 702 授权出于国家安全的目的进行某些类型的外国情报收集。一个名为外国情报监视法院的特别独立联邦法院负责监督情报收集工作，以确保其进行的方式符合 FISA 法规和美国款，特别是第四条修正 条，防止不合理搜查和扣押。

Zendesk 是一家在美国特拉华州成立并注册的美国公司，受美国法律约束。根据《电子通信隐私法案》（以下简称“ECPA”）第 18 USC 第 2711 条的规定，Zendesk 是一项远程计算服务（以下简称“RCS”）向订阅者提供服务。ECPA 不允许执法机构访问存储在 RCS 提供商处的数据，除非他们先获得了搜查令、传票或法院命令。远程计算服务提供商如果存储电子通讯信息，也可能受到《外国情报监视法案》（以下简称“FISA 702”）第 702 条的管辖。 

在 T州 中，根据具体情况，您首先可能会断定：没有理由认为 FISA 702 实际上不会适用于您将 Zendesk 作为处理者的数据，尤其是 Zendesk 处理的数据类型代表您。关于此问题，请发送 Schrems II ，美国政府已保证：“而且没有理由相信大多数美国公司所处理的数据与美国情报机构有关。他们没有进行可能对隐私构成风险的数据传输，而欧洲法院在 施雷姆斯 II”。

其次，Zendesk 的 透明度报告 表明发生这种性质的请求的可能性非常小。由此，您也可能得出这样的结论：没有理由相信 FISA 702 会实际适用于您使用 Zendesk 作为处理者的数据。

第三，作为控制者，您有权检查与您的数据相关的日志，以了解是否发生了任何未经授权的访问（请记住，在正常情况下，Zendesk 员工只有在获得您批准的情况下才能访问您的数据）。因此，这项补充措施可能会使您满意的答复，即任何可能的基本等效问题都已得到解决。

8.对于 Schrems II，Zendesk 会采取什么方法来处理 SEO 12333？

行政命令 (eo) 12333 并未实际授权美国政府要求公司协助收集外国情报，但 Zendesk 不会自愿这样做。Zendesk 尚未收到任何批量数据的订单。如果数据导入程序使用足够强大的传输过程加密，则可以消除任何 eo 12333 风险。这是因为 SEO 12333 似乎涉及在数据到达美国这些公司服务器之前对其进行拦截。如果加密足够强，那么任何被拦截的数据都将无法读取。 

Zendesk 在这方面提供了足够的加密，因为与 Zendesk UI 和 API 的所有通信都通过行业标准 HTTPS/TLS（TLS 1.2 或更高版本）通过公共网络进行加密。服务数据在 AWS 中使用 AES-256 密钥加密进行静态加密。此外，Zendesk 未在 Zendesk 中内置任何后门以允许政府机构绕过其安全措施访问服务数据。由此可见，Zendesk 已实施补充措施，以充分应对 SEO 12333 带来的基本等效风险。

9.如何确保您的数据得到 Zendesk 处理数据所在其他国家/地区监测法律的充分保护？

如上所述，Zendesk 已在我们的《TIA 指南》中提供相关当地法律的概要。根据您的评估，这些国家/地区的法律为您的数据提供了与欧盟基本相同的保护级别。在这种情况下，这些国家/地区无需进行进一步的操作。

如果根据您的评估，这些国家/地区的法律没有为您的数据提供基本相同的保护，那么，根据具体情况（例如数据类型），您可能会认为仍然没有理由相信这些法律会实际适用于您的数据。更新。您也可考虑 Zendesk 采取的补充措施（例如我们的政府访问政策和增强的安全措施），这意味着任何重要的等效问题都已得到充分解决。

10.Zendesk 还采取了哪些其他措施来响应 Schrems II？

感谢一些订阅者希望获得能够在不断变化的隐私环境中提供更高合规级别的解决方案。有鉴于此，我们致力于打造高级加密解决方案，以及更深入的数据本地化产品。

除了专注于高级加密之外，我们还将投资构建更多隐私和合规性功能，以实现数据保留政策的实施，并提高专员访问权限和细化权限的可见度，以及构建更多工具，以协助实现 Zendesk 实例中的数据最小化。更新。

我们正在努力处理这些项目，并将很快为您提供最新情况。然而，如果您有任何疑问，请联系我们的 Schrems II 合规问题，或任何一般数据保护事宜，那么请联系您的 Zendesk 客户经理或 euprivacy@zendesk.com。