Zoom и Генеральный регламент Европейского союза по защите персональных данных (GDPR)

Обновлено: 18 августа 2023 г.

Миссия Zoom — дарить радость посредством безотказной видеоконференцсвязи, что невозможно представить без гарантий конфиденциальности и безопасности. Именно поэтому мы стремимся защитить и обезопасить коммуникации наших клиентов на самом высоком уровне, в том числе в соответствии с обязательствами по обеспечению конфиденциальности данных в Европейской экономической зоне (ЕЭЗ) и прежде всего в соответствии с Генеральным регламентом по защите персональных данных (GDPR).

Zoom рассматривает GDPR как основу для надежной, всеобъемлющей защиты данных. Zoom понимает, что наши клиенты (как контроллеры данных) должны быть уверены в том, что Zoom как обработчик данных принимает все технические и организационные меры по защите данных в соответствии с GDPR. Компания Zoom всегда готова предложить своим клиентам необходимую им помощь и поддержку как контроллерам данных.

Вот несколько основных фактов, демонстрирующих приверженность Zoom существующим методам защиты данных.

 

Контрактные обязательства по соблюдению GDPR для всех клиентов Zoom

Согласно требованиям GDPR, контроллеры данных (например, организации и разработчики, пользующиеся службами Zoom) должны пользоваться услугами только тех обработчиков данных (например, Zoom), которые при обработке персональных данных от имени контроллера данных предоставляют достаточные гарантии соблюдения соответствующих требований GDPR. Для того чтобы обеспечить соблюдение этих обязательств всеми клиентами Zoom, компания Zoom включила в Условия обслуживания Zoom Приложение об обработке данных.

Контрактные обязательства Zoom по соблюдению GDPR

  • Стремясь к максимальной прозрачности, Zoom обязуется использовать персональные данные только в рамках нашего соглашения о предоставлении услуг или в соответствии с конкретными инструкциями наших клиентов.
  • Zoom реализует надлежащие технические и организационные меры безопасности для защиты обрабатываемых нами персональных данных.
  • Zoom помогает клиентам выполнять их обязательства, когда субъекты данных осуществляют свои права в области персональных данных, обрабатываемых посредством наших служб (например, в случаях с запросами на предоставление информации или при реализации права на доступ, исправление и удаление персональных данных).

 

Поддержка международной передачи данных

В июле 2020 года Суд Европейского союза (далее — «Суд ЕС») вынес решение по делу C-311/18 (обычно упоминаемое как «Решение Schrems II») относительно правомерности передачи данных за пределы ЕЭЗ. Основанием для дела Schrems II стала жалоба, поданная Максимилианом Шремсом как субъектом данных из Австрии относительно передачи его личных данных в США и возможности правительственных учреждений США получить доступ к его данным.

Решением Schrems II Суд ЕС постановил, что система защиты конфиденциальности ЕС-США уже не обеспечивает законные средства для передачи персональных данных из ЕЭЗ в США.

Но важно то, что Суд ЕС также постановил, что сформулированные Европейской комиссией стандартные договорные условия (СДУ), на которых основана трансграничная передача данных компанией Zoom, остаются законным механизмом для передачи персональных данных из ЕЭЗ в страны, не входящие в ЕЭЗ.

В свете этого решения в июне 2021 года Европейская комиссия опубликовала новые СДУ. Zoom включила новые СДУ в текущие соглашения с учетом переходных периодов, определенных Европейской комиссией (не позднее 27 сентября 2021 г. для новых договоров и не позднее 27 декабря 2022 г. для существующих договоров). Подробнее об этом можно узнать из раздела часто задаваемых вопросов об СДУ.

 

Новое требование: «знай своего адресата данных»

Решение Schrems II также содержало в себе новое требование. Прежде чем передавать персональные данные в страну за пределами ЕЭЗ, которая, как считается, не обеспечивает надлежащего уровня защиты данных, экспортеры данных должны оценить, обеспечивают ли СДУ защиту персональных данных в стране-получателе на уровне, который «практически эквивалентен» уровню защиты данных при соблюдении правил ЕС в области защиты данных.

Иными словами, прежде чем полагаться на СДУ, экспортер и импортер данных должны оценить, могут ли законы и методы, действующие в стране — получателе данных, ослабить уровень защиты, который мог бы быть обеспечен. Для того чтобы поддержать наших клиентов при проведении такой оценки, мы разработали методику оценки последствий передачи данных для таких продуктов:

оценка последствий передачи данных для Zoom Meetings, Zoom Webinars и Zoom Team Chat;
оценка последствий передачи данных для Zoom Phone;
оценка последствий передачи данных для Zoom Contact Center;
оценка последствий передачи данных для виртуального агента Zoom.

 

Надежные меры по обеспечению защиты данных из Европы

Zoom делает все возможное, чтобы поддерживать высокий уровень безопасности:

  • Zoom использует ряд технологий шифрования для защиты данных при передаче и хранении.
  • Zoom использует меры безопасности для постоянного обеспечения конфиденциальности, целостности, доступности и отказоустойчивости наших систем и служб обработки данных.
  • Zoom принимает меры для успешного оперативного восстановления доступности и доступа к нашим системам и службам обработки данных в случае физической ошибки или технического сбоя.
  • Zoom реализует процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер по обеспечению безопасности обрабатываемых нами данных.

В частности, в Zoom предусмотрены указанные ниже меры для обеспечения безопасности коммуникаций, которые отправляются и хранятся на платформе Zoom.

  • Возможность включить сквозное шифрование для конференций. По желанию пользователи могут включить сквозное шифрование для конференций Zoom Meetings. Это гарантия высокого уровня безопасности, поскольку третьи стороны, включая Zoom, не имеют доступа к ключам шифрования конференции.
  • Шифрование по умолчанию. Соединение между пользовательским устройством и Zoom зашифровано по умолчанию сочетанием TLS 1.2+ (безопасность на транспортном уровне), 256-разрядного симметричного алгоритма шифрования AES GCM и SRTP (безопасного протокола передачи данных в реальном времени). Конкретные используемые методы зависят от того, используется ли клиент Zoom, веб-браузер, стороннее устройство либо служба или сервис Zoom Phone. Дополнительная информация содержится в нашем техническом документе по шифрованию.
  • Защита от неавторизованных участников конференций. Zoom реализует множество мер безопасности и управления, не позволяющих неавторизованным участникам присоединяться к конференциям. Они перечислены ниже.
    • 11-значные числовые уникальные идентификаторы конференций.
    • Сложные пароли
    • Зал ожидания с возможностью автоматического допуска участников из вашего или другого указанного вами домена.
    • Функция блокировки конференции (Lock Meeting), позволяющая не допустить присоединения к конференции.
    • Возможность удалять участников.
    • Профили аутентификации, которые позволяют входить только зарегистрированным пользователям или ограничить доступ только для определенных доменов электронной почты
    • Уведомитель о конференциях под угрозой — инструмент, проверяющий публикации в общедоступных социальных сетях и иных общедоступных онлайн-ресурсах на наличие ссылок на конференции Zoom Meeting
  • Выборочные приглашения на конференцию. Организатор может выбрать участников, которых необходимо пригласить по электронной почте, в чате или с помощью SMS. Это открывает дополнительные возможности контроля за распространением информации о доступе к конференции. Кроме того, организатор может создать конференцию, присоединиться к которой могут только пользователи с определенного домена электронной почты.
  • Безопасность конференции. В ходе конференции Zoom предоставляет каждому участнику Zoom Meeting защищенные данные мультимедиа в реальном времени. Любой контент, которым участники делятся в конференции, является лишь представлением оригинальных данных. Для такого контента выполняются шифрование и оптимизация демонстрации с помощью реализованных мер защиты.
  • Элементы управления организатора. Элементы управления организатора конференции позволяют запретить или разрешить участникам обмениваться контентом, пользоваться чатом и переименовывать себя.
  • Функция «Сообщить о пользователе». Функция «Сообщить о пользователе» позволяет организатору конференции сообщить о неподобающем поведении участника.
  • Встроенные элементы управления безопасностью. Элементы управления безопасностью объединены под значком «Безопасность» в главном интерфейсе.
  • Безопасность пользователей на основе ролей. Организатор конференции может воспользоваться следующими возможностями обеспечения безопасности до начала конференции:
    • использовать безопасный вход со стандартными именем пользователя и паролем или систему единого входа с SAML;
    • начать конференцию, защищенную кодом доступа;
    • запланировать конференцию, защищенную кодом доступа.
  • Предотвращение автоматизированных вызовов. Пользователи могут предотвратить автоматизированные вызовы за счет ограничения скорости и технологии reCAPTCHA (требует вмешательства оператора) на всех платформах.

 

Выбор центров обработки и хранения данных

Zoom понимает, что наши клиенты хотели бы иметь возможность выбирать центры обработки данных (ЦОД) для обработки и хранения данных.

Передаваемые данные и обработка. Zoom осуществляет маршрутизацию передаваемых данных клиентов через международную сеть объединенных центров обработки данных и центров обработки данных в общедоступном облаке (включая центры обработки данных Amazon Web Services (AWS)). Посредством услуг Zoom маршрутизация информации, поступающей в экосистему Zoom, осуществляется через центр обработки данных, который ближе всего расположен к пользователю, отправляющему или получающему данные.

На уровне учетной записи, группы или пользователя владельцы учетных записей и администраторы платных учетных записей могут предоставлять согласие на обработку данных или отказывать в ней определенным центрам обработки данных Zoom, которые будут использоваться для обработки видео, аудио или совместно используемого содержимого в рамках конференции или вебинара в режиме реального времени во время организации конференций и вебинаров. Центры обработки данных в стране, поддерживающей регион, в котором была предоставлена учетная запись, будут заблокированы в качестве согласия на обработку. Выбор центра обработки данных Zoom применяется только в том случае, если на учетной записи организованы конференция или вебинар. В случае отказа учетной записи, на которой организованы конференции или вебинар, от какого-либо центра обработки данных видео, аудио и совместно используемое содержимое всех участников конференций и вебинаров в режиме реального времени будут обрабатываться только в том центре обработки данных Zoom, которому было предоставлено согласие. Однако Zoom может осуществлять маршрутизацию трафика между центрами обработки данных, используя стандартные отраслевые протоколы сетевой маршрутизации, при обходе подключений к частной сети Zoom (т. е. граничную маршрутизацию). Дополнительные сведения доступны в этой статье справки.

Хранение данных. Клиенты могут выбирать место хранения данных для содержимого клиента. Содержимое клиента — это информация, предоставляемая клиентом при использовании услуги Zoom, включая все данные, которые клиент выбирает для записи или совместного использования во время конференции или вебинара, включая, помимо прочего, записи в облаке, расшифровку конференций и чатов (во время конференции и сохраняемую), а также файлы, обмен которыми осуществляется во время конференции или в канале сохраняемого чата.

Содержимое клиента хранится на территории США по умолчанию. Клиенты с платными учетными записями могут выбрать место хранения содержимого клиента для учетной записи. Изменить этот параметр смогут только владельцы учетных записей, администраторы учетных записей или пользователи с привилегиями профиля учетной записи клиента. Дополнительные сведения доступны в этой статье справки. Обратите внимание на то, что содержимое клиента, данные учетной записи и диагностические данные хранятся на территории США.

 

Строгие протоколы реагирования на запросы государственных органов на предоставление информации

Zoom ответственно подходит к вопросу защиты конфиденциальности своих клиентов и пользователей, поэтому мы передаем персональные данные только в ответ на правомерные запросы со стороны государственных органов и в соответствии с нашим Руководством по запросам государственных органов и актуальной правовой политикой.

Во всех географических регионах действуют указанные далее требования.

  • Запросы государственных органов должны составляться в соответствии с действующими законами и нормами и направляться по официальным каналам, в том числе составляться по утвержденной форме с подписью уполномоченного лица или направляться по электронной почте с официального адреса электронной почты государственного органа.
  • Все запросы должны быть четко и недвусмысленно сформулированы и иметь веское юридическое основание. Мы будем отклонять или оспаривать запросы, не соответствующие данным требованиям.
  • Мы будем особенно тщательно рассматривать определенные запросы государственных органов в отношении данных пользователей, исходя из наших принципов и задачи обеспечивать эффективную коллективную работу по всему миру.

Если запрос сформулирован слишком расплывчато, Zoom будет оспаривать его правомочность, чтобы минимизировать спектр предоставляемой информации.

Как правило, Zoom уведомляет пользователей о полученных государственных запросах информации, в том числе предоставляя копию полученного запроса, если законом нам не запрещено уведомлять пользователя. Запросы, требующие не уведомлять пользователя, обязаны содержать описание неотложных обстоятельств или потенциально негативных последствий такого уведомления.

 

Более высокий уровень прозрачности

  • Отчеты о прозрачности. Zoom опубликовала свой первый отчет о количестве запросов, полученных от органов США и других стран, в декабре 2020 года (Отчет о прозрачности: количество запросов от государственных органов). Мы стремимся к тому, чтобы каждый наш отчет о прозрачности был лучше предыдущего. Наш последний отчет о прозрачности размещен здесь. Другие отчеты о прозрачности будут доступны в центре доверия Zoom Trust Center.
  • Встроенные уведомления. В ходе регулярных обновлений компания Zoom добавляет уведомления о конфиденциальности для конкретных функций продуктов Zoom, чтобы пользователь в процессе работы мог понять, кто может видеть и делиться контентом и информацией, которую он предоставляет в продуктах Zoom. Например, если пользователь хочет узнать, кто может видеть его сообщения в чате Zoom, он может перейти в раздел «Кто может видеть ваши сообщения?» и посмотреть, кто может получить доступ к сообщениям, которые он отправляет в группу, а также к личным сообщениям.

 

Все службы Zoom создаются с учетом требований GDPR

Компания Zoom делает все возможное, чтобы выпускаемые функции продуктов соответствовали требованиям GDPR и обеспечивали защиту персональных данных, обрабатываемых с помощью наших служб. Подробная информация о наших методах обращения с данными содержится в нашем Заявлении о конфиденциальности. Если у вас возникнут вопросы о GDPR, напишите нам на адрес электронной почты: privacy@zoom.us .