1.简介

1.1 此政府数据请求政策规定了 Zendesk 的以下程序：1) 事先评估第三国现有的披露个人数据的要求或授权公共机构访问的措施； 2) 回应执法机构或其他政府机构（统称“请求机构”）提出的披露由 Zendesk 处理的个人数据的请求（以下简称“数据披露请求”），该请求符合我们具有约束力的公司规则：政府数据请求程序。本政策还规定了 Zendesk 的通知程序，即一旦我们发现执法机构或其他政府机构直接访问（即未经事先请求而访问个人数据，和/或经 Zendesk 批准/协作）， Zendesk（以下简称“Direct Access”），该规则符合我们有约束力的公司规则：政府数据请求程序。

1.2 若 Zendesk 收到数据披露请求，将根据本政策处理该数据披露请求。如果适用的数据保护法律对个人数据的保护标准高于本政策的规定，Zendesk 将遵守该数据保护法律的相关要求。

 

2.之前的评估

2.1 在 Zendesk 根据此控制者和/或处理者政策的要求进行个人数据的国际传输之前，它将评估第三个目标国家关于数据披露请求要求或授权直接访问措施的法律和实践。 （包括在传输过程中），这可能会阻止 Zendesk 履行其在相应控制者/处理者政策下的义务，例如不尊重基本权利和自由的实质，超出民主社会必要和相称程度的做法，以及适用的限制和保障措施。此类评估应根据传输的具体情况以及任何设想的后续传输（包括传输和相关处理发生的目的、地点和部门，参与处理的实体类型，类别/数据传输）进行。已传输个人数据的格式和使用的传输渠道），并确定是否需要额外的合同、技术或组织保护措施（在个人数据传输期间或静态时）。评估（和适当情况下的保护措施）将由隐私团队成员传达给所有组成员。Zendesk 将合理监测目标国家/地区法律的未来发展，并酌情考虑此类更改可能对其初始评估产生的影响。在此控制者和/或处理者政策下，作为数据导入者的集团成员应合理地向作为数据导出者的集团成员/客户，以及负有数据保护责任的欧洲经济区集团成员告知其了解到的此类更改。

 

2.2 如果 Zendesk 确定需要采取额外保护措施来解决第 2.1 条中的评估结果，Zendesk 将通知相关欧洲经济区成员下放数据保护责任，并通知隐私委员会或更广泛的隐私团队的相关成员。参与，以反映他们对此类保障措施的看法。

 

2.3 Zendesk 将记录第 2.1 段所述评估以及第 2.2 段所述额外措施，并应要求向主管监管机构提供。

 

2.4 如果 Zendesk 确定需要采取有效的补充措施，以履行其在相应控制者/处理者政策下的义务，但其无法识别任何有效补充措施，或者如果主管监管机构有指示，隐私团队承诺暂停相关传输（包括转，相同的评估和推导会得出相同的结论），并将该情况通知所有相关组成员。暂停之后，根据本控制者和/或处理者政策导出个人数据的实体可结束此类个人数据传输，而未受到控制者/处理者政策规定的充分保护的个人数据可能会被退还给导出实体和/或或已销毁。

3.数据披露请求的一般原则

3.1 一般原则上，Zendesk 不会回应数据披露请求而披露个人数据，除非：

 

• 有进行此类披露的法律义务；或

• 考虑到数据披露请求的性质、背景、目的、范围和紧急程度，以及任何受影响个人的隐私权和自由，迫在眉人的严重危害风险在任何情况下都值得遵守数据披露请求。

3.2 因此，除非法律明文禁止，或存在立即造成严重危害的风险，否则 Zendesk 将通知数据保护主管机构并与其协商（如果 Zendesk 代表客户处理个人数据，则由数据保护主管机构协商）。 customer），以处理数据披露请求。

 

4.处理数据披露请求

4.1 如果 Zendesk 集团成员收到数据披露请求，请求接收者必须在收到请求后立即将其转发给法务部，并说明收到请求的日期，以及其它可协助法务团队回复请求的信息更新。同样，如果 Zendesk 集团成员注意到 Direct Access，应立即将此情况通知法律团队，并说明发生日期和其它可协助法律团队根据本政策做出回应的信息。

 

4.2 请求机关并非必须以书面形式、根据法院命令提出或提及数据保护法才能构成数据披露请求。任何数据披露请求（无论以何种方式提出）都必须通知法务团队进行审查。

 

4.3 Zendesk 法务团队将逐个仔细审查每一个数据披露请求和直接访问请求。法律团队将酌情与隐私团队和外部法律顾问联络，以确定数据披露请求/直接访问的性质、背景信息、目的、范围和紧急程度，及其在适用法律和国际礼让原则下的有效性，以确定可能需要采取措施对数据披露请求/直接访问提出异议，包括向请求机构提出上诉，和/或寻求临时措施，以中止请求的影响，直到主管司法机关作出决定。以确定其实质，或根据适用的程序法以其他方式要求披露，和/或根据第 4 段通知客户和/或数据保护主管机构。

 

5.数据披露请求/直接访问通知

5.1 客户须知

 

5.1.1 如果请求涉及客户作为控制者的个人数据，Zendesk 通常会要求请求机构直接向相关客户提交数据披露请求。如果请求机构同意，Zendesk 将根据其合同条款支持客户回复数据披露请求。

 

5.1.2 如果无法做到这一点（例如，因为请求机构拒绝直接向客户提出数据披露请求，或不知道客户的身份），Zendesk 将通知客户并向其提供数据披露详情。在披露任何个人数据之前提出请求，除非法律禁止这样做，或存在迫在眉人的严重危害风险而无法事先通知。

 

5.1.3 如果 Zendesk 发现有关客户控制者的个人数据的 Direct Access，Zendesk 将通知客户并向其提供此类 Direct Access 的详情，除非法律禁止或存在严重问题的迫切风险。存在危害，禁止此类通知。

 

5.2 致数据保护主管机构的通知

 

5.2.1 如果根据适用的数据保护法律，请求机关所在国家/地区未对此类请求所涉及的个人数据提供足够级别的保护，则 Zendesk 也将暂停该请求，以通知和咨询数据保护主管部门，除非法律禁止，或存在迫在眉人的严重危害风险而无法事先通知。

 

5.2.2 如果进行直接访问的执法机构或其他政府机构所在国家/地区无法为此类请求相关的个人数据提供足够级别的保护，则根据适用的数据保护法律，Zendesk还将通知并咨询数据保护主管机构，除非法律禁止或存在迫在眉人的严重危害风险而无法事先通知。

 

5.2.3 如果 Zendesk 被禁止通知数据保护主管机构和/或暂停请求，Zendesk 将尽力（考虑请求的性质、背景信息、目的、范围和紧急性）通知请求者。进行直接访问以了解其在适用数据保护法下的义务并获得放弃此禁止权利的授权机构。此类工作可能包括要求请求机构执行直接访问暂停请求，以便 Zendesk 咨询数据保护主管机构，或允许向 Zendesk 客户的指定人员进行披露，并且还可以，在适当情况下，包括为此寻求法院命令。Zendesk 将根据其既定的业务记录维护实践，维护并应客户和数据保护主管机构的合理要求，提供其工作的书面记录，除非法律禁止这样做。

 

6.透明度报告

6.1 Zendesk 承诺准备半年报告（以下简称“透明度报告”），在其中反映最近六个月收到的数据披露请求的数量和类型（可能受限于适用法律或法院命令）。Zendesk 将在其网站上发布透明度报告，并应数据保护主管机构的请求提供该报告。

 

7.批量转接

7.1 在任何情况下，任何集团成员都不得以超出民主社会必要范围的方式大规模、不成比例和不加区别地向请求机构传输个人数据。