Den 16 juli 2020 meddelade EU-domstolen en avgörande dom som gäller överföring av data från EU. Detta kallas för Schrems II-målet.

Vi förstår att våra kunder kan ha frågor om den potentiella effekten som domen kan ha och vilka åtgärder Freshworks vidtar. Därför vill vi svara på de viktigaste frågorna i den här artikeln.

 

Q: Vad innebär Schrems II-målet?

A: I och med Schrems II-målet ogiltigförklarar EU-domstolen skölden för skydd av privatlivet som en mekanism för att möjliggöra lagliga överföringar av personuppgifter utanför det europeiska ekonomiska samarbetsområdet (EES). Man bekräftar dock att användningen av standardavtalsklausuler (SCC), som tidigare godkänts av EU-kommissionen, fortsatt kommer att utgöra en giltig mekanism.

EU-domstolen betonar att registeransvariga måste säkerställa att det finns lämpliga skyddsåtgärder för att erbjuda en nivå av skydd som motsvarar skyddet som personuppgifter som förs över får inom Europa (enligt dataskyddsförordningen GDPR och EU:s stadga om grundläggande rättigheter). Standardavtalsklausuler används för att uppnå detta även om det i vissa fall även används ytterligare säkerhetsåtgärder (se nedan).

 

Q: Vad innebär Schrems II för överföring av data till Freshworks?

A: Integritet och sekretess är viktiga begrepp för Freshworks. Vi arbetar kontinuerligt med att se över riktlinjer från EU:s dataskyddsmyndigheter och den europeiska dataskyddsstyrelsen (ett organ som samlar EU:s reglerande myndigheter). Vi väntar även på vidare förtydliggörande från EU-kommissionen och den amerikanska regeringen gällande vissa frågor som domen orsakat på politisk nivå.

För närvarande förhindrar inte Schrems II användning av standardavtalsklausuler som laglig mekanism för överföring av data. Därför arbetar Freshworks med att gå över till standardavtalsklausuler för överföring av data från EES till USA och kommer även fortsatt att använda standardavtalsklausuler för annan dataöverföring från EES.

Vår bilaga om dataskydd (eller avtal om databehandling) inkluderar standardavtalsklausuler och tydliggör att dessa gäller mellan vår kund (som exportör) och Freshworks (som importör) när det kommer till överföring av personuppgifter från EES som ej (eller ej längre) skyddas av bestämmelser såsom skölden för skydd av privatlivet. Då skölden för skydd av privatlivet ej bedöms vara tillräcklig för överföringar av personuppgifter till USA gäller standardavtalsklausuler automatiskt istället för skölden enligt vår bilaga.

Även om skölden för skydd av privatlivet har bedömts vara en otillräcklig mekanism för överföringar av personuppgifter från EES ämnar Freshworks även fortsatt behandla personuppgifter som tas emot från EES i enlighet med principerna i skölden.

 

Q: Vilka andra åtgärder vidtar Freshworks för att säkerställa lämpligt skydd av europeiska personuppgifter?

A: Integritet och sekretess är viktiga koncept för Freshworks. Vi arbetar kontinuerligt för att säkerställa att de personuppgifter vi behandlar har lämpligt skydd. Vi väntar för närvarande på riktlinjer från den europeiska dataskyddsstyrelsen gällande vad som utgör ”lämpligt skydd” av europeiska personuppgifter. Dock kan vi redan nu dela följande åtgärder som vi redan vidtar.

1. Säkerhet

     a. Vi är stolta över de metoder vi använder för gediget skydd av personuppgifter och data och arbetar kontinuerligt för att säkerställa att våra kunders personuppgifter skyddas. Du kan läsa mer om vårt genomgripande säkerhetsprogram och hur vi har utformat våra säkerhetsåtgärder här.

     b. Vi är certifierade enligt ISO 27001 och medlemmar av Cloud Security Alliance. 

     c. Vi använder AES 256-bitars kryptering med en styrka på 1 024 bitar för ”vilande” data och FIPS 140-2-anpassad TLS-kryptering för data som förs över, vilket innebär att dessa data är oläsbara för tredje parter.

 2. Förfrågningar från brottsbekämpande myndigheter

     a. Vi använder strikta policyer och processer för att säkerställa att kunder snabbt informeras om detta tillåts vid förfrågan från brottsbekämpande myndigheter eller andra myndigheter som önskar att vi delar kundens data. Detta sker i enlighet med våra standardavtalsklausuler.

     b. I enlighet med våra policyer och processer tillhandahåller vi endast åtkomst till data för brottsbekämpande myndigheter när detta krävs av lagen.

 

Q: Jag har vidare frågor. Vart bör jag vända mig?

A: Vi hoppas att dessa frågor och svar har gett dig den information du behöver. Om du har vidare frågor kan du kontakta din kontoansvarig hos Freshworks eller skicka ett e-postmeddelande till privacy@freshworks.com.