16 июля 2020 года Европейский суд Евросоюза (CJEU) вынес решение по делу, известному как Schrems II (дело Макса Шремса). В нем рассматривается передача данных из ЕС в другие страны.

Мы признательны нашим клиентам за вопросы о том, как их затрагивает данное решение и какие шаги предпринимает в связи с этим Freshworks. Здесь рассматриваются некоторые из наиболее важных таких вопросов.

 

В: О чем говорится в решении по делу Schrems II?

О: Суд отменил программу по защите данных между ЕС и США, известную также как «Щит конфиденциальности». Данный механизм описывал передачу персональных данных из стран Европейской экономической зоны (ЕЭЗ). При этом суд оставил в силе Стандартные условия договора, которые ранее были одобрены Европейской комиссией.

Европейский суд обязал контроллеров внедрить «надлежащие защитные меры», чтобы пользователи, чьи персональные данные перемещаются, имели «фактически эквивалентный» европейскому уровень защиты (согласно закону GDPR и Хартии о фундаментальных правах). Одним из способов решения этого вопроса являются Стандартные условия договора, хотя в некоторых случаях требуются «дополнительные защитные меры» (см. ниже).

 

В: Как сертификация «Щита конфиденциальности» влияет на передачу данных во Freshworks?

О: Для Freshworks очень важна конфиденциальность. Мы внимательно следим за решениями органов ЕС по защите данных, включая Европейский совет по защите данных (ЕСЗД). Мы также ждем дополнительных разъяснений от Европейской комиссии и Правительства США, где поднятые вопросы будут рассмотрены на политическом уровне.

Но вместе с этим пока нет препятствий для использования Стандартных условий договора в качестве законного механизма передачи данных. Таким образом, Freshworks будет опираться на Стандартные условия договора при передаче данных из ЕЭЗ как в США, так и в другие регионы.

Наше Приложение о защите конфиденциальности данных (или Соглашения об обработке данных) дополняет Стандартные условия договора. В нем подчеркивается, что Стандартные условия договора применяются между нашим клиентом (как экспортером) и Freshworks (как импортером) во всех случаях переноса персональных данных из ЕЭЗ, которые не подлежат решению о достаточности мер. Передача персональных данных в США согласно «Щиту конфиденциальности» больше не считается достаточной, поэтому в нашем Приложении «Щит конфиденциальности» автоматически заменяется Стандартными условиями договора.

Хотя «Щит конфиденциальности» объявлен недействительным для передачи персональных данных из ЕЭЗ, Freshworks будет и дальше обрабатывать персональные данные, полученные из ЕЭЗ, в согласии с принципами «Щита конфиденциальности».

 

В: Какие «другие меры» имеет в виду Freshworks, говоря о «надлежащих защитных мерах» в отношении европейских данных?

О: Freshworks уделяет большое внимание защите конфиденциальности. Мы постоянно работаем над улучшением защиты всех персональных данных, которые обрабатываем. Сейчас мы ждем дополнительных инструкций от ЕСЗД по внедрению дополнительных «надлежащих защитных мер» для европейских данных. Тем временем мы хотели рассказать вам о тех шагах, которые мы предпринимаем уже сейчас.

1. Безопасность

a) Мы гордимся надежностью наших средств безопасности и конфиденциальности данных, которые мы постоянно развиваем в интересах наших пользователей. Больше о нашей программе защиты данных можно прочитать здесь.

b) Мы имеем сертификат ISO 27001 и входим в Альянс облачной безопасности. 

c) Мы используем протокол шифрования AES 256 бит со стойкостью ключа 1024 бит для хранимых данных и TLS по стандарту FIPS 140-2 для передаваемых данных (они будут доступны третьим лицам).

2. Запросы правоохранительных органов

a) У нас внедрены жесткие политики и процедуры для своевременного информирования клиентов в случае запроса со стороны органов власти, как требуют Стандартные условия договора.

b) Наши политики и процедуры допускают передачу данных органам власти только в случае, если закон обязывает нас это сделать.

 

В: У меня есть другие вопросы, где их задать?

О: Мы надеемся, что здесь нам удалось ответить на самые срочные вопросы, но если у вас есть другие, обратитесь к своему менеджеру по аккаунту Freshworks или напишите по адресу privacy@freshworks.com.