Zoom и Генеральный регламент Европейского союза по защите персональных данных (GDPR)

Обновлено: 8 августа 2024 г.

Миссия Zoom — дарить радость посредством безотказной видео-конференц-связи, что невозможно представить без гарантий конфиденциальности и безопасности. Именно поэтому мы стремимся защищать и ограждать коммуникации наших клиентов от опасности на самом высоком уровне, в том числе в соответствии с обязательствами по обеспечению конфиденциальности данных в Европейской экономической зоне (ЕЭЗ) и, прежде всего, в соответствии с Генеральным регламентом по защите персональных данных (GDPR).

Zoom рассматривает GDPR как основу для защиты данных всех пользователей, а не только тех, которые находятся в Европе. Zoom поддерживает своих клиентов, применяя технические и организационные меры по защите данных в соответствии с нормативно-правовыми требованиями GDPR. Компания Zoom всегда готова предложить своим клиентам необходимую им помощь как контролерам данных.

Ниже приведено несколько основных фактов, демонстрирующих приверженность Zoom существующим методам защиты данных. 

Если вы хотите узнать подробнее о методах защиты данных, применяемых компанией Zoom, ознакомьтесь также с результатами оценки воздействия на защиту персональных данных (Data Protection Impact Assessment, DPIA), которую компания Zoom провела совместно с SURF — ассоциацией образовательных и исследовательских учреждений Нидерландов. Результаты приведены в этой записи блога (а также в самом отчете по DPIA компании Privacy Company). 

Договорные обязательства по соблюдению GDPR для всех клиентов Zoom
Согласно требованиям GDPR, контролеры данных (например, организации и разработчики, пользующиеся службами Zoom) должны пользоваться услугами только тех обработчиков данных (например, Zoom), которые при обработке персональных данных от имени контролера данных предоставляют достаточные гарантии соблюдения соответствующих требований GDPR. Компания Zoom выполняет эти обязательства перед всеми клиентами, включив Приложение об обработке данных в Условия обслуживания Zoom.

Контрактные обязательства Zoom по соблюдению GDPR

  • Стремясь к максимальной прозрачности, Zoom обязуется использовать персональные данные только в рамках нашего соглашения о предоставлении услуг или в соответствии с конкретными инструкциями наших клиентов.
  • Zoom реализует надлежащие технические и организационные меры безопасности для защиты обрабатываемых нами персональных данных.
  • Zoom помогает клиентам выполнять их обязательства, когда субъекты данных осуществляют свои права в области персональных данных, обрабатываемых посредством наших служб (например, в случаях с запросами на предоставление информации или при реализации права на доступ, исправление и удаление персональных данных).

Меры безопасности при международной передаче данных

США

GDPR содержит конкретные правила передачи персональных данных в страны, не входящие в Европейскую экономическую зону (ЕЭЗ). В целом персональные данные могут передаваться в страны, не входящие в ЕЭЗ, только в том случае, если эти страны обеспечивают достаточный уровень защиты. 

Достаточность определяется на основе того, считаются ли меры по защите данных в стране, не входящей в ЕС, достаточными для обеспечения уровня защиты, эквивалентного тому, который предоставляется в ЕС. Решение о достаточности, принимаемое Европейской комиссией, позволяет свободно передавать персональные данные из ЕС в третью страну без необходимости в дополнительных мерах безопасности. С 10 июля 2023 года для участников Системы защиты конфиденциальности данных ЕС — США действует новое решение Европейской комиссии о достаточности. Компания Zoom зарегистрирована как активный участник

Система защиты конфиденциальности данных была создана в ответ на растущую обеспокоенность в отношении защиты данных и конфиденциальности в цифровую эпоху. Она направлена на гармонизацию и повышение стандартов защиты данных, особенно в отношении трансграничной передачи персональных данных. Важность системы защиты конфиденциальности данных обусловлена ее ролью в содействии международной торговле и коммуникации при одновременном обеспечении защиты прав физических лиц на конфиденциальность. Ее действие распространяется на различных заинтересованных лиц, в том числе на компании, регулирующие органы и физических лиц, поскольку она устанавливает четкие руководящие указания и обязательства в отношении обработки данных. Систему защиты конфиденциальности данных крайне важно применять для безопасной передачи данных, поскольку она устанавливает правовые рамки, гарантирующие соблюдение законов о защите данных, тем самым способствуя повышению доверия и ответственности при трансграничном обмене данными. 

Другие третьи страны

Персональные данные можно передавать из ЕЭЗ в третьи страны, не входящие в ЕЭЗ, применяя стандартные договорные условия (СДУ, также известные как типовые условия ЕС), которые приняты Европейской комиссией. Эти СДУ обеспечивают высокий уровень защиты по договору. Компания Zoom внесла новые СДУ в свое стандартное Дополнительное соглашение об обработке данных в 2021 году. Zoom включила новые СДУ в действующие соглашения с учетом переходных периодов, определенных Европейской комиссией. Подробнее об этом можно узнать из раздела часто задаваемых вопросов клиентов о новых СДУ

Оценка последствий передачи данных
Для того чтобы помочь клиентам выполнять дополнительные требования при применении СДУ, компания Zoom предлагает оценки последствий передачи данных для различных продуктов, представленные ниже. В соответствии с общепринятой рекомендацией экспортер и импортер данных должны оценивать, могут ли законы и методы, действующие в стране — получателе данных, ослабить уровень защиты, обеспечиваемый в ином случае. 

Оценка последствий передачи данных для Zoom Meetings, Zoom Webinars и Zoom Team Chat
Оценка последствий передачи данных для Zoom Phone
Оценка последствий передачи данных для Zoom Contact Center
Оценка последствий передачи данных для Виртуального агента Zoom

 

Запросы субъектов данных
Запрос субъекта данных на доступ — это механизм, предусмотренный Генеральным регламентом по защите персональных данных (GDPR), который позволяет лицам, известным как субъекты данных, запрашивать доступ к своим персональным данным, хранящимся в организациях. Кроме того, субъекты данных могут подавать запросы на исправление неточных или неполных персональных данных. Это гарантирует оперативное исправление любых ошибок в данных. При определенных обстоятельствах физические лица имеют право подавать запрос на удаление своих персональных данных (обычно называется правом на забвение). Это одно из основных прав, предусмотренных GDPR, которое подчеркивает прозрачность и контроль физических лиц над персональными данными. Компания Zoom предлагает своим клиентам инструмент самообслуживания, позволяющий легко и просто реализовывать эти права. Дополнительную информацию об этом инструменте можно найти на веб-сайте службы поддержки

 

Хранение данных
Компания Zoom предлагает европейским клиентам, имеющим соответствующие платные учетные записи, возможность использовать центры обработки данных в странах Европейского союза (ЕС). Клиенты могут выбирать регионы центров обработки данных, а также автоматически определяемый домашний регион для передачи трафика конференций и вебинаров в реальном времени. Кроме того, они могут хранить записи локально на своих устройствах или в местном центре обработки данных. Дополнительную информацию можно найти на странице поддержки. Таким клиентам компания Zoom также предлагает возможность обработки всех их данных о поддержке исключительно в ЕС. Если они хотят получить поддержку в нерабочее время в ЕС, они могут предоставить конкретное для отдельного случая согласие на передачу персональных данных в службу поддержки за пределами ЕС. 

 

Надежные меры по обеспечению защиты данных из Европы
Компания Zoom делает все возможное, чтобы поддерживать высокий уровень безопасности.

  • Zoom использует ряд технологий шифрования для защиты передаваемых и хранящихся данных клиентов.
  • Zoom использует меры безопасности для постоянного обеспечения конфиденциальности, целостности, доступности и отказоустойчивости наших систем и служб обработки данных.
  • Zoom принимает меры для успешного оперативного восстановления доступности и доступа к нашим системам и службам обработки данных в случае физической ошибки или технического сбоя.
  • Zoom реализует процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер по обеспечению безопасности обрабатываемых нами данных.

В частности, компания Zoom применяет различные меры безопасности для защиты коммуникационных данных клиентов, передаваемых через платформу Zoom и хранящихся на ней. Эти меры приведены ниже.

  • Возможность включить сквозное шифрование для конференций. По желанию пользователи могут включить сквозное шифрование для конференций Zoom Meetings. Сквозное шифрование предназначено для шифрования данных всех участников конференции, чтобы ни один посредник (поставщик или система), даже компания Zoom, не мог получить доступ к коммуникационным данным.
  • Шифрование по умолчанию. Соединение между пользовательским устройством и Zoom зашифровано по умолчанию сочетанием TLS 1.2+ (протокол защиты транспортного уровня), 256-битного симметричного алгоритма шифрования AES GCM и SRTP (безопасный протокол передачи данных в реальном времени). Конкретные применяемые методы зависят от того, используется ли клиент Zoom, веб-браузер, стороннее устройство либо услуга или продукт Zoom Phone. Дополнительную информацию см. в нашей брошюре по шифрованию.
  • Меры защиты от неавторизованных участников конференций. Zoom внедрила множество мер безопасности и управления, не позволяющих неавторизованным участникам присоединяться к конференциям, среди них:
    • 11-значные числовые уникальные идентификаторы конференций;
    • сложные пароли;
    • зал ожидания с возможностью автоматического допуска участников из вашего или другого указанного вами домена;
    • функция блокировки конференции (Lock Meeting), позволяющая закрыть вход в конференцию;
    • возможность удалять участников;
    • профили аутентификации, которые позволяют входить только зарегистрированным пользователям или ограничить доступ только для определенных доменов электронной почты;
    • уведомитель о конференциях под угрозой — инструмент, проверяющий публикации в общедоступных социальных сетях и иных общедоступных онлайн-ресурсах на наличие ссылок на конференции Zoom Meetings.
  • Выборочное приглашение на конференцию. Организатор может выбирать участников, которых необходимо пригласить по электронной почте, через мгновенные сообщения или SMS. Это открывает дополнительные возможности контроля за распространением информации о доступе к конференции. Кроме того, организатор может создать конференцию, присоединиться к которой могут только участники с определенного домена электронной почты.
  • Безопасность во время конференции. В ходе конференции Zoom предоставляет каждому участнику защищенные данные мультимедиа в реальном времени. Любое содержимое, которым участники делятся на конференции, является лишь представлением оригинальных данных. Для такого содержимого выполняются шифрование и оптимизация демонстрации с помощью реализованных мер защиты.
  • Элементы управления для организатора. Элементы управления для организатора конференции позволяют запрещать или разрешать участникам обмениваться содержимым, пользоваться чатом и переименовывать себя.
  • Подача жалобы. Можно подать жалобу на участников, которые ведут себя в ходе конференции неподобающим образом. Для этого необходимо выбрать участников, указать письменные подробности и добавить вложения. Сообщение автоматически отправляется группе доверия и безопасности Zoom для оценки ненадлежащего использования платформы и для возможной блокировки пользователей.
  • Встроенные элементы управления безопасностью. Элементы управления безопасностью объединены под значком «Безопасность» в главном интерфейсе.
  • Безопасность пользователей на основе ролей. Организатор конференции может применить следующие упреждающие методы обеспечения безопасности:
    • использовать безопасный вход со стандартными именем пользователя и паролем или систему единого входа с SAML;
    • начать конференцию, защищенную секретным кодом;
    • запланировать конференцию, защищенную секретным кодом.
  • Предотвращение автоматизированных вызовов. Добавлена функция фильтрации вызовов, помогающая пользователям сократить количество нежелательных автоматизированных вызовов. Владельцы и администраторы учетных записей могут включить функцию фильтрации вызовов на уровне учетной записи, объекта, группы, пользователя, зоны общего пользования, автосекретаря, очереди вызовов и группы общих линий. По умолчанию эта функция включена и разблокирована для всех пользователей учетной записи.

 

Выбор центров обработки и хранения данных
Zoom понимает, что наши клиенты хотели бы иметь возможность выбирать центры обработки данных для обработки и хранения данных.

Передаваемые данные и обработка. Zoom осуществляет маршрутизацию передаваемых данных клиентов Zoom Meetings через свою международную сеть объединенных центров обработки данных и центров обработки данных в общедоступном облаке [включая центры обработки данных Amazon Web Services (AWS)]. Услуги Zoom Meetings разработаны таким образом, что маршрутизация информации, поступающей в экосистему Zoom, осуществляется через центр обработки данных, который ближе всего расположен к пользователю, отправляющему или получающему данные.

Во время организации конференций и вебинаров владельцы и администраторы платных учетных записей могут согласиться или отказаться от использования определенных центров обработки данных Zoom для обработки видео, аудио или совместно используемого содержимого в рамках конференции или вебинара в режиме реального времени на уровне учетной записи, группы или пользователя. Центры обработки данных в стране, поддерживающей регион, в котором была предоставлена учетная запись, будут заблокированы для выбора. Выбранные центры обработки данных Zoom применяются только в том случае, если учетная запись используется для организации конференции или вебинара. Если в учетной записи, в которой организовывается конференция или вебинар, применяется отказ от использования каких-либо центров обработки данных, видео, аудио и совместно используемое содержимое всех участников конференции или вебинара в режиме реального времени будут обрабатываться только в тех центрах обработки данных Zoom, на использование которых было предоставлено согласие. Тем не менее Zoom может осуществлять маршрутизацию трафика между центрами обработки данных, используя стандартные отраслевые протоколы сетевой маршрутизации, при обходе подключений к частной сети Zoom (т. е. граничную маршрутизацию). Дополнительные сведения доступны в этой статье справки.

Хранение данных. Клиенты могут выбирать место хранения определенного содержимого клиента. Содержимое клиента — это информация, предоставляемая клиентом при использовании услуги Zoom, включая все данные, которые клиент выбирает для записи или совместного использования во время конференции или вебинара. Помимо прочего, содержимое клиента включает в себя записи в облаке, расшифровки конференций и чатов (как непрерывных, так и в режиме конференции), а также файлы, обмен которыми осуществляется во время конференции или в канале непрерывного чата.

По умолчанию содержимое клиента хранится на территории США. Клиенты с платными учетными записями могут выбирать место хранения некоторого содержимого клиента для своей учетной записи. Изменить эту настройку могут только владельцы учетных записей, администраторы учетных записей или пользователи с привилегиями профиля учетной записи клиента. Дополнительные сведения доступны в этой статье справки. Обратите внимание на то, что содержимое клиента, данные учетной записи и диагностические данные все равно хранятся на территории США.

 

Строгие протоколы реагирования на запросы государственных органов на предоставление информации
Компания Zoom ответственно подходит к вопросу защиты конфиденциальности своих клиентов и пользователей, поэтому мы передаем персональные данные только в ответ на обоснованные и правомерные запросы со стороны государственных органов и в соответствии с нашим Руководством по запросам государственных органов и актуальными правовыми политиками.

Во всех географических регионах действуют указанные далее требования.

  • Запросы государственных органов должны составляться в соответствии с применимыми законами и нормами и направляться по официальным каналам, в том числе составляться по утвержденной форме с подписью уполномоченного лица или направляться по электронной почте с официального адреса электронной почты государственного органа.
  • Все запросы должны быть четко и недвусмысленно сформулированы и иметь веское юридическое основание. Мы будем отклонять или оспаривать запросы, не соответствующие данным требованиям.
  • Мы будем особенно тщательно рассматривать определенные запросы государственных органов в отношении данных пользователей, исходя из наших принципов и нашей задачи предоставлять эффективные средства коммуникации по всему миру.

Если запрос сформулирован слишком расплывчато, Zoom будет оспаривать его правомочность, чтобы минимизировать спектр предоставляемой информации.

Как правило, Zoom уведомляет пользователей о полученных государственных запросах на предоставление информации, в том числе отправляя копию полученного запроса, если законом нам не запрещено уведомлять пользователя. Запросы, требующие не уведомлять пользователя, обязаны содержать описание неотложных обстоятельств или потенциально негативных последствий такого уведомления.

 

Более высокий уровень прозрачности

  • Отчеты о прозрачности. Компания Zoom опубликовала свой первый отчет о количестве запросов, полученных от органов США и других стран, в декабре 2020 года (Отчет о прозрачности: количество запросов от государственных органов). Мы стремимся к тому, чтобы каждый наш отчет о прозрачности был лучше предыдущего. Наш последний отчет о прозрачности доступен здесь. Другие отчеты о прозрачности будут доступны в Центре доверия Zoom.
  • Уведомления в продуктах. В ходе регулярных обновлений компания Zoom добавляет уведомления о конфиденциальности для конкретных функций продуктов Zoom, чтобы пользователь в процессе работы понимал, кто может видеть содержимое и информацию, которые он предоставляет в продуктах Zoom, и делиться ими. Например, если пользователь хочет узнать, кто видит его сообщения в чате Zoom, он может перейти в раздел «Кто может видеть ваши сообщения?» и посмотреть, у кого есть доступ к сообщениям, которые он отправляет в группу, а также к личным сообщениям.

 

Все услуги Zoom создаются с учетом требований GDPR
Компания Zoom делает все возможное, чтобы выпускаемые функции продуктов соответствовали требованиям GDPR и обеспечивали защиту персональных данных, обрабатываемых с помощью наших услуг. Подробная информация о наших методах обращения с данными содержится в нашем Заявлении о конфиденциальности. Если у вас возникнут вопросы о GDPR, напишите на адрес электронной почты privacy@zoom.us.