16 Temmuz 2020 tarihinde Avrupa Birliği Adalet Divanı (CJEU), Schrems II kararı adı verilen ve AB’den yapılan veri transferlerini inceleyen bir karar verdi.

Müşterilerimizin bu kararın potansiyel etkileri ve Freshworks’ün bununla ilgili olarak attığı adımlar hakkında soruları olabileceğinin farkındayız. Bu SSS ile en önemli sorulardan bazılarını öngörerek yanıtlamayı hedefledik.

 

S:  Schrems II kararının içeriği nedir  ?

Y:  CJEU, AB-ABD Gizlilik Kalkanı Çerçevesini (Gizlilik Kalkanı) Avrupa Ekonomik Alanı’nın (AEA) dışına kişisel verilerin yasal transferini sağlama mekanizması olarak geçersiz kıldı, ancak daha öncesinde Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddelerinin (SSM) geçerli bir mekanizma olmayı sürdüreceğini teyit etti.

CJEU, kontrolörlerin verileri transfer edilen bireylere, Avrupa’da yararlandıkları (Genel Veri Koruma Yönetmeliği veya “GDPR” ve Temel Haklar Şartı uyarınca) korumaya “temelde eşdeğer” bir koruma seviyesi sağlayacak “gerekli güvenlik tedbirlerinin” bulunduğundan emin olmaları gerektiğini vurguladı. Bazı durumlarda   “ek tedbirler” gerekli olsa da SSM bunu sağlamanın yollarından biridir (aşağıya bakınız).

 

S: Bu, Gizlilik Kalkanı sertifikası altında Freshworks’e yapılan aktarımlar için ne anlama geliyor?

Y: Freshworks için gizlilik önemlidir. AB Veri Koruma Yetkilileri ve Avrupa Veri Koruma Kurulu (AB düzenleyicilerinden oluşan bir heyet) tarafından yapılan önerileri takip ediyoruz. Aynı zamanda, bu karardan dolayı ortaya çıkan sorunlardan bazılarına siyasi düzeyde yanıt vermesi için AB Komisyonu ve ABD Hükümetinden de konuya daha fazla açıklık getirmelerini bekliyoruz.

Ancak, bu süre içinde karar, SSM’nin yasal bir veri transfer mekanizması olarak kullanımını engellememektedir. Bundan dolayı, Freshworks AEA’ndan ABD’ye veri transferi için artık SSM’ye dayanmakta ve AEA dışına diğer veri transferlerinde de SSM’ye dayanmaya devam etmektedir.

Veri Gizliliği Ekimiz (veya Veri İşleme Anlaşmaları) SSM’yi ekinde bulundurmakta ve müşterimiz (dışa aktaran olarak) ve Freshworks (içe aktaran olarak) arasında gerçekleşen ve uygunluk kararına (Gizlilik Kalkanı gibi) konu olmayan (veya bundan böyle konu olmayan) AEA’dan herhangi bir kişisel verinin transferi için SSM’nin geçerli olduğunu açıkça belirtmektedir. Artık Gizlilik Kalkanı kapsamında ABD’ye kişisel verilerin transferinin uygunluk kriterini karşılamadığına karar verildiğinden, Veri Gizliliği Ekimiz uyarınca Gizlilik Kalkanı yerine otomatik olarak SSM geçerli olur.

Gizlilik Kalkanının AEA’dan kişisel veri transferi için geçersiz bir mekanizma olduğuna karar verilmesine rağmen, Freshworks AEA’dan aldığı kişisel verileri Gizlilik Kalkanı Prensiplerine göre işlemeye devam etmeye kararlıdır.

 

S: Freshworks Avrupa verileriyle ilgili “gerekli tedbirleri” almak için hangi adımları atıyor?

Y: Gizlilik Freshworks için önemlidir. İşlediğimiz tüm kişisel verilerin en üst düzeyde korunmasını sağlamak için sürekli çaba gösteriyoruz. Avrupa verileriyle ilgili “gerekli tedbirlerin” alınması için hangi ek tedbirlerin alınması gerektiği hakkında Avrupa Veri Koruma Kurulundan aydınlatıcı bilgi bekliyoruz, ancak bu arada aldığımız aşağıdaki tedbirleri sizinle paylaşmak istiyoruz.

1. Güvenlik

     a. Müşterimizin kişisel verilerinin güvenliğini sağlamak için sürekli olarak geliştirmeye devam ettiğimiz güçlü veri güvenliği ve gizliliği uygulamalarımızla gurur duyuyoruz. Kapsamlı güvenlik programımız ve tasarımımız hakkında ayrıntılı bilgiye buradan ulaşabilirsiniz.

     b. ISO 27001 belgemiz bulunmaktadır ve Bulut Güvenlik Birliği üyesiyiz. 

     c. Durağan veri için 1.024 bitlik anahtar ile AES 256 bit şifreleme ve aktarımdaki veri için FIPS 140-2 uyumlu TLS şifreleme sistemi kullanıyoruz ki bu da,  üçüncü partiler açısından anlaşılabilir olduğu anlamına gelir.

 2. Hukuki yaptırım talepleri

     a. Bir kolluk kuvveti veya herhangi bir kamu otoritesinden müşteri verilerinin açıklanması ile ilgili herhangi bir talep aldığımızda, müşterileri SSM kapsamında zorunlu olduğu üzere, hızlı bir şekilde bilgilendirmek için katı politikalarımız ve süreçlerimiz bulunmaktadır.

     b. Politikalarımız ve süreçlerimiz doğrultusunda, sadece yasal olarak zorunlu olduğumuzda kolluk kuvvetlerine veriye erişim hakkı sunuyoruz.

 

S: Daha fazla sorum var, kimle iletişime geçebilirim?

Y: Bu SSS içeriğinin hızlı yanıt almanız gereken soruları yanıtladığını umuyoruz, ancak başka sorularınız varsa, lütfen Freshworks hesap yöneticinizle veya privacy@freshworks.com adresiyle iletişime geçiniz.