W dniu 16 lipca 2020 roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok kwestionujący transfery danych z UE zwany  wyrokiem Schrems II.

Zdajemy sobie sprawę, że nasi klienci mogą mieć pytania dotyczące potencjalnego oddziaływania wyroku oraz działań podejmowanych przez spółkę Freshworks w tym zakresie. Chcieliśmy skorzystać z okazji i przejąć inicjatywę udzielając odpowiedzi na najważniejsze z kwestii przewijających się w często zadawanych pytaniach (FAQ).

 

Q: Jakie postanowienia zostały zawarte w wyroku Schrems II?

A: TSUE unieważnił adekwatność Mechanizmu Tarczy Prywatności UE-USA (Tarczy Prywatności) jako mechanizmu ułatwiającego dokonywanie zgodnych z prawem transferów danych osobowych poza granice Europejskiego Obszaru Gospodarczego (EOG), potwierdzając przy tym jednak, że standardowe klauzule umowne (SKU) w formie zatwierdzonej uprzednio przez Komisję Europejską zostaną utrzymane jako obowiązujący mechanizm.

TSUE położył nacisk na to, aby administratorzy danych byli zobowiązani zapewnić, że istnieją „odpowiednie zabezpieczenia” dające osobom fizycznym, których dane stanowią przedmiot transferu, poziom zabezpieczenia będący „odpowiednikiem w wymiarze zasadniczym” zabezpieczenia pozostającego do ich dyspozycji w Europie (zgodnie z postanowieniami rozporządzenia o ochronie danych osobowych (RODO) oraz Karty Praw Podstawowych). Jeden ze środków osiągania tego celu stanowią standardowe klauzule umowne (SKU), chociaż w pewnych okolicznościach może wystąpić konieczność sięgania po „zabezpieczenia dodatkowe” (por. dalsza cześć tekstu).

 

Q: Co to oznacza dla transferów do Freshworks zgodnie z certyfikacją Tarczy Prywatności?

A: Prywatność jest dla Freshworks kwestią bardzo istotną. Przez cały czas monitorujemy instrukcje wydawane przez organy ochrony danych UE oraz Europejską Radę Ochrony Danych (organ, w skład którego wchodzą przewodniczący krajowych organów ochrony danych państw członkowskich UE). Oczekujemy również dalszych wyjaśnień ze strony Komisji Unii Europejskiej oraz rządu Stanów Zjednoczonych w zakresie niektórych kwestii podnoszonych w wyroku na szczeblu politycznym.

Jednocześnie jednak wyrok nie uniemożliwia stosowania standardowych klauzul umownych (SKU) jako zgodnego z prawem mechanizmu transferu danych.  Freshworks przechodzi zatem na stosowanie standardowych klauzul umownych (SKU) jako podstawy transferu danych poza granice EOG, do USA, oraz nadal stosuje standardowe klauzule umowne (SKU) jako podstawę na potrzeby innych transferów danych poza granice EOG.    

Nasze „Uzupełnienie w sprawie zapewniania prywatności danych” (czyli „Porozumienie dotyczące przetwarzania danych”) stanowi uzupełnienie do standardowych klauzul umownych (SKU) i stanowi jednoznacznie, że standardowe klauzule umowne (SKU) mają zastosowanie pomiędzy klientem (jako wysyłającym) a spółką Freshworks (jako otrzymującym) na potrzeby transferu wszelkich danych osobowych z EOG, niebędącego (lub już niebędącego) przedmiotem wyroku w sprawie adekwatności [mechanizmu] (takiego jak Tarcza Prywatności). W chwili obecnej, gdy transferów danych osobowych do USA w ramach Tarczy Prywatności nie uznaje się za adekwatne, w miejsce Tarczy Prywatności, na mocy postanowień niniejszego „Uzupełnienia”, zaczynają automatycznie obowiązywać standardowe klauzule umowne (SKU).

Chociaż Tarczę Prywatności uznano za mechanizm nieważny jeśli chodzi o transfery danych osobowych z EOG, Freshworks nadal stara się utrzymać tryb przetwarzania danych otrzymywanych z EOG zgodny z zasadami Tarczy Prywatności.

 Q: Jakie inne środki podejmuje Freshworks w celu zapewnienia „odpowiednich zabezpieczeń” dla danych pochodzących z Europy?

A: Prywatność jest dla spółki Freshworks kwestią bardzo istotną. Przez cały czas staramy się zapewniać jak najlepsze środki ochrony wszystkich przetwarzanych przez nas danych osobowych. Oczekujemy na instrukcje od Europejskiej Rady Ochrony Danych (EROD) w zakresie środków dodatkowych, jakie mogą być wymagane w celu zapewnienia „odpowiednich zabezpieczeń” danych pochodzących z Europy, ale w międzyczasie chcieliśmy przedstawić następujące, podejmowane przez nas działania.

1. Ochrona

     a. Szczycimy się skuteczną ochroną danych oraz praktykami w zakresie prywatności, które są nieustannie rozwijane w celu zapewniania ochrony danych osobowych naszych klientów. Zapraszamy do zapoznania się z naszym szeroko zakrojonym programem ochrony i jego układem tutaj.

     b. Posiadamy akredytację ISO 27001, jak również jesteśmy członkiem Cloud Security Alliance [Sojuszu na rzecz bezpieczeństwa w chmurze]

     c. Korzystamy z 256-bitowego szyfrowania AES 256 z kluczem 1024 bitów dla danych pozyskanych oraz szyfrowania FIPS 140-2 zgodnego z TLS dla danych w drodze, co oznacza, że są one nieczytelne dla osób trzecich.

 2. Żądania ze strony organów ścigania

     a. Obowiązują u nas restrykcyjne regulaminy i procedury nakazujące bezzwłoczne informowanie klientów, zgodnie z wymogami standardowych klauzul umownych (SKU), w przypadku otrzymania żądania ujawienia danych klientów wystosowanego przez organy ścigania lub inne organy publiczne.

     b. Zgodnie z postanowieniami naszych regulaminów i procedur, udostępniamy dane organom ścigania jedynie w przypadku, gdy jesteśmy do tego zobowiązani z mocy prawa.  

Q: Mam dalsze pytania, gdzie mogę je skierować?

A: Mamy nadzieję, że powyższe odpowiedzi na często zadawane pytania rozwiały Państwa obawy, jeśli jednak masz jeszcze jakiekolwiek pytania, zapraszamy do kontaktu ze specjalistą ds. obsługi klienta (account managerem) w spółce Freshworks lub prosimy o skierowanie ich na adres: privacy@freshworks.com.