Zendesk ja GDPR

Zendesk ja GDPR – voiko yritykseni jatkaa palvelun käyttöä?

Käsittelimme edellisessä blogitekstissämme lähestyvää GDPR tietosuoja-asetusta yleisesti ja päätimme kirjoittaa aiheesta vähän lisää ja vastata asiakkaidemme kysymyksiin koskien Zendeskiä ja GDPR-asetusta. Palaamme vielä varmasti aiheeseen uudestaan vielä kevään mittaan.

Asetus ja sen vaatimuksethan luonnollisesti koskevat myös Zendeskiä yrityksenä, sillä sen tarjoamalla ja ylläpitämällä palvelulla käsitellään EU:ssa asuvien henkilöiden tietoja. Zendesk on sitoutunut vastaamaan asetuksen vaatimuksiin, kun asetusta aletaan soveltamaan toukokuussa, ja kehittääkin parhaillaan tietosuojaansa ja palveluaan niin, että sen käyttöä voi jatkaa turvallisin mielin.

Oheisessa tekstissä nostamme esiin palvelun kannalta keskeisimpiä tekijöitä, annamme vinkkejä asetukseen varautumiseen järjestelmässä ja vastaamme asiakkaidemme top 5 kysymyksiin!

Zendesk sitoutuu vastaamaan asetuksen vaatimuksiin, eli…

Zendesk sitoutuu asetuksen myötä takaamaan asiakkailleen mahdollisuuden:

  • vastata yksilöiden pyyntöihin korjata, muuttaa tai poistaa henkilötietoja rekisteristä;
  • tulla tiedotetuksi ja raportoida mahdollisista henkilötietovuodoista viranomaisille ja henkilötietojen omistajille GDPR-asetuksen asettamien aikatauluvaatimusten puitteissa; ja
  • osoittaa noudattavansa tietosuoja-asetusta, mitä tulee Zendeskin palveluiden käyttämiseen.

Zendeskin asiakkailla on halutessaan mahdollisuus hyödyntää riskiarvioissaan myös kolmannen osapuolen ISO sertifikaattia tai SOC 2 tilintarkastuskertomuksia. Asiakkailla on lisäksi mahdollisuus vaikuttaa järjestelmänsä turvallisuuteen määrittelemällä vahvemmat tietoturva-asetukset. Zendesk tarjoaa näistä lisätietoa sivuillaan.

Mihin henkilötietoa Zendeskissä kertyy ja miten sitä hallinnoidaan?

Miten esimerkiksi asiakkaan tiedonsaantioikeuteen tai tietojen poistopyyntöön voi käytännössä vastata? Järkevintä lienee aloittaa sen määrittelystä, mihin kaikkialle henkilön tietoja tallentuu Zendeskissä ja miten niitä hallinnoidaan.

Henkilötietoja tallentuu Zendeskissä pääasiallisesti käyttäjän tietoihin. Siellä on siis nähtävissä kaikki asiakkaan omat yhteydenotot ja yhteydenotot, joissa käyttäjä on kopiovastaanottajana. Lisäksi näkyvät tukiportaalin puolella tehdyt artikkelien kommentit, yhteisön viestit ja kommentit, annetut äänet ja tehdyt tilaukset.

Zendesk tiedonkeruu

Lisäksi asiakaspalveluunne puhelimitse yhteydessä olleiden käyttäjien puheluiden nauhoitteita saattaa olla Twilio-palvelussa, josta ne ovat poistettavissa joko yksittäin suoraan yhteydenottopyynnöltä tai automaattisesti asetetun aikataulun avulla, joka poistaa tallenteet tietyn ajan kuluttua nauhoittamisesta.

Äänitteen hallinta Zendeskissä

Miten yrityksesi voi valmistautua Zendeskissä?

Zendeskiin on jo nyt tullut paljon uusia toimintoja ja sovelluksia, joiden avulla yritykset voivat valmistautua asetuksen tuloon ja lisää on odotettavissa vielä ennen toukokuuta. Alla muutamia vinkkejä, jotka voivat tukea yrityksesi henkilötietojen käsittelyprosessia Zendeskissä:

1. Sopimus henkilötietojen käsittelystä

Käytettäessä alihankittuja tai ulkoistettuja henkilötietojen käsittelijöitä ja siirrettäessä henkilötietoja Euroopan talousalueen ulkopuolelle, saattaa palvelunostaja tarvita riittävän turvallisen tiedonsiirron taatakseen Sopimuksen henkilötietojen käsittelystä (DPA, Data Processing Agreement).

Zendeskin Sopimus henkilötietojen käsittelystä vastaa GDPR-asetusta ja sopimuksen voi tehdä ottamalla yhteyttä osoitteeseen privacy@zendesk.com, tai voit hoitaa asian sähköisesti täältä käsin.

2. Print Ticket History App (ilmainen sovellus)

Sovelluksen avulla saa kätevästi tulostettua kerralla käyttäjän koko yhteydenottohistorian: yhteydenotot, joissa käyttäjä on lähettäjänä, joihin käyttäjä on kommentoinut, joiden käsittelyssä käyttäjä on ollut mukana (esimerkiksi kopiovastaanottajana) tai kerralla kaikki yhteydenotot.

Sovellus koostaa yhteydenotoista PDF-tiedoston, jossa on eriteltynä yhteydenottojen yksityiskohdat (myös sisäiset kommentit) sen perusteella, mitä yhteydenoton kenttiä järjestelmään on määritelty, esimerkiksi näin:

Zendesk yhteydenoton kentät

3. Ticket Redaction App (ilmainen sovellus)

Sovelluksen avulla voi poistaa yhteydenotoilta sensitiivistä tai muutoin tarpeetonta tietoa kopioimalla poistettavan osion sovellukseen. Toiminnon myötä tieto peittyy yhteydenotolla mustalla laatikolla, eikä tietoa ole palautettavissa:

Zendesk ticket redaction app

Tiedon poistamisesta jää yhteydenoton tapahtumiin merkintä:

Tiedon poistomerkintä Zendeskissä

Toistaiseksi sovellus poistaa tiedon kaikista tietokannoista, mutta ei puhdista palvelun lokeja. Asia on tiedostettu ja Zendesk tutkii parhaillaan, miten ja milloin tietojen poistaminen myös lokeilta saadaan toteutettua.

Asiakkaidemme top 5 kysymykset GDPR-asetukseen liittyen

Asiakkaamme ovat nyt toukokuun lähestyessä olleet yhä enenevissä määrin yhteydessä meihin GDPR-asetukseen liittyvissä asioissa, joten päätimme kerätä yhteen yleisimpiä kysymyksiä ja vastauksia asiaan liittyen:

1. Mainitseeko palveluntuottaja olevansa GDPR yhteensopiva?

Kyllä, Zendesk on sitoutunut olemaan GDPR-yhteensopiva. Suosittelemme tutustumaan GDRP-asetukseen liittyvään EU Data Protection -sivuun!

2. Keitä alihankkijoita palveluntuottaja (Zendesk) hyödyntää meille tarjottavassa palvelussa?

Lista alihankkijoista ja paljon muuta tietoa asiasta löytyy täältä.

3. Tallennetaanko tietoja EU alueen ulkopuolelle? Jos tallennetaan, onko yrityksellä ja käyttämällämme tuotteella Privacy Shield sertifikaatti?

Kyllä, tietoja tallennetaan EU:n ulkopuolelle. Tarvittaessa asiakkailla on mahdollisuus maksua vastaan hankkia lisäomaisuus, joka takaa, että keskeiset asiakastiedot on tallennettu EU:n alueelle. Ohessa suora lainaus Zendeskin sivuilta:

 Zendesk has data centers in three main regions — United States, Asia Pacific, and the European Union. Service Data may be stored in any region. Customers can select the region in which data centers that host certain of their Service Data are located by purchasing the Data Center Locality Add-On. Please see the Regional Data Hosting Policy for additional information.

Linkkien takaa löydät lisää tietoa tiedon säilytyspalveluista ja sertifikaateista.

4. Miten on huolehdittu siitä, että järjestelmä on saatavilla, ettei tietoa häviä ja virhetilanteista toivutaan mahdollisimman nopeasti?

Alla olevien linkkien takaa löydät Zendeskin vastauksia asiaan:

5. Miten palveluun tallennettavat tiedot varmuuskopioidaan? Miten tiedot voidaan palauttaa?

Linkkien takaa löytyy tietoa tiedon käsittelystä ja säilyttämisestä:

Tiedon hallinta järjestelmässä on täysin asiakkaan vastuulla, eikä Zendesk siten osallistu asiakkaidensa tileillä olevan tiedon manuaaliseen käsittelyyn (ei siis muokkaa, poista, siivoa, palauta tai muutoin muuta yksittäisiä tietoja) millään tavalla. Ainoa poikkeus tähän käytäntöön on mahdollinen Zendesk-palvelujen aiheuttama  tarve tiedon manuaaliselle käsittelylle (esimerkiksi ohjelmistovika), jolloin palveluntarjoaja ryhtyy tarvittaviin, kohtuullisiin toimiin tietojen palauttamiseksi.

Yhteenvetona

Kaiken tämän tietotulvan jälkeen voidaan siis todeta, että asiakkaamme voivat huoletta jatkaa Zendeskin käyttöä myös asetuksen voimaanastumisen jälkeen ainakin sen osalta, mitä tulee palvelun turvallisuuteen ja tiedonkäsittelyyn. Seuraamme tulevia päivityksiä ja pyrimme tiedottamaan niistä mahdollisimman pian verkkosivuillamme, mutta suosittelemme myös Zendesk-käyttäjiä itseään seuraamaan tilannetta Zendeskin Zendesk Legal -sivulla.

Haluatko asiasta lisätietoa?

Jos aihe kiinnostaa ja haluat meidän toimittavan Zendesk-aiheiset artikkelimme sinulle tiedoksi, tilaa alta blogimme päivitykset suoraan sähköpostiisi. Voit seurata meitä myös somessa, sillä löydät olennaiset julkaisumme myös sieltä.

Tähän juttuun liittyvät aiheet

Löytyisikö tästä lisää luettavaa?