Zoom и Генеральный регламент Европейского союза по защите персональных данных (GDPR)

Обновлено: 1 июня 2022 г.

Миссия Zoom — дарить радость посредством безотказной видеоконференцсвязи, что невозможно представить без гарантий конфиденциальности и безопасности. Именно поэтому мы стремимся защитить и обезопасить коммуникации наших клиентов на самом высоком уровне, в том числе в соответствии с обязательствами по обеспечению конфиденциальности данных в Европейской экономической зоне (ЕЭЗ) и прежде всего в соответствии с Генеральным регламентом по защите персональных данных (GDPR).

Zoom рассматривает GDPR как основу для надежной, всеобъемлющей защиты данных. Zoom понимает, что наши клиенты (как контроллеры данных) должны быть уверены в том, что Zoom как обработчик данных принимает все технические и организационные меры по защите данных в соответствии с GDPR. Компания Zoom всегда готова предложить своим клиентам необходимую им помощь и поддержку как контроллерам данных. 

Вот несколько основных фактов, демонстрирующих приверженность Zoom существующим методам защиты данных. 

 

Контрактные обязательства по соблюдению GDPR для всех клиентов Zoom

Согласно требованиям GDPR, контроллеры данных (например, организации и разработчики, пользующиеся службами Zoom) должны пользоваться услугами только тех обработчиков данных (например, Zoom), которые при обработке персональных данных от имени контроллера данных предоставляют достаточные гарантии соблюдения соответствующих требований GDPR. Чтобы обеспечить соблюдение этих обязательств всеми клиентами Zoom, компания Zoom включила в Условия обслуживания Zoom Приложение об обработке данных. 

Контрактные обязательства Zoom по соблюдению GDPR

  • Стремясь к максимальной прозрачности, Zoom обязуется использовать персональные данные только в рамках нашего соглашения о предоставлении услуг или в соответствии с конкретными инструкциями наших клиентов.
  • Zoom реализует надлежащие технические и организационные меры безопасности для защиты обрабатываемых нами персональных данных. 
  • Zoom помогает клиентам выполнять их обязательства, когда субъекты данных осуществляют свои права в области персональных данных, обрабатываемых посредством наших служб (например, в случаях с запросами на предоставление информации или при реализации права на доступ, исправление и удаление персональных данных).

 

Поддержка международной передачи данных

В июле 2020 года Суд Европейского союза (далее — «Суд ЕС») вынес решение по делу C-311/18 (обычно упоминаемое как «Решение Schrems II») относительно правомерности передачи данных за пределы ЕЭЗ. Основанием для дела Schrems II стала жалоба, поданная Максимилианом Шремсом как субъектом данных из Австрии относительно передачи его личных данных в США и возможности правительственных учреждений США получить доступ к его данным.

Решением Schrems II Суд ЕС постановил, что система защиты конфиденциальности ЕС-США уже не обеспечивает законные средства для передачи персональных данных из ЕЭЗ в США. 

Но важно то, что Суд ЕС также постановил, что сформулированные Европейской комиссией Стандартные договорные условия (СДУ), на которых основана международная передача данных компанией Zoom, остаются законным механизмом для передачи персональных данных из ЕЭЗ в страны, не входящие в ЕЭЗ. 

В свете этого решения в июне 2021 года Европейская комиссия опубликовала новые СДУ. Zoom включила новые СДУ в текущие соглашения с учетом переходных периодов, определенных Европейской комиссией (не позднее 27 сентября 2021 г. для новых договоров и не позднее 27 декабря 2022 г. для существующих договоров).  Подробнее об этом можно узнать из раздела часто задаваемых вопросов об СДУ

 

Новое требование: «знай своего адресата данных»

Решение Schrems II также содержало в себе новое требование. Прежде чем передавать персональные данные в страну за пределами ЕЭЗ, которая, как считается, не обеспечивает надлежащего уровня защиты данных, экспортеры данных должны оценить, обеспечивают ли СДУ защиту персональных данных в стране-получателе на уровне, который «практически эквивалентен» уровню защиты данных при соблюдении правил ЕС в области защиты данных.

Иными словами, прежде чем полагаться на СДУ, экспортер и импортер данных должны оценить, могут ли законы и методы, действующие в стране — получателе данных, ослабить уровень защиты, который мог бы быть обеспечен. Чтобы помочь нашим клиентам проводить такую оценку, мы подготовили методику оценки последствий передачи данных (DTIA).

Подробнее о том, что предпринимает Zoom и какие предусмотрены дополнительные меры безопасности при передаче персональных данных из ЕЭЗ или Великобритании в Zoom в США, можно узнать в разделе Часто задаваемые вопросы: международная передача данных.

 

Надежные меры по обеспечению защиты данных из Европы 

Zoom делает все возможное, чтобы поддерживать высокий уровень безопасности:

  • Zoom использует ряд технологий шифрования для защиты данных при передаче и хранении.
  • Zoom использует меры безопасности для постоянного обеспечения конфиденциальности, целостности, доступности и отказоустойчивости наших систем и служб обработки данных.
  • Zoom принимает меры для успешного оперативного восстановления доступности и доступа к нашим системам и службам обработки данных в случае физической ошибки или технического сбоя.
  • Zoom реализует процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер по обеспечению безопасности обрабатываемых нами данных.

В частности, в Zoom предусмотрены указанные ниже меры для обеспечения безопасности коммуникаций, которые отправляются и хранятся на платформе Zoom.

  • Возможность включить сквозное шифрование для конференций. По желанию пользователи могут включить сквозное шифрование для конференций Zoom Meetings. Это гарантия высокого уровня безопасности, поскольку третьи стороны, включая Zoom, не имеют доступа к ключам шифрования конференции. 
  • Шифрование по умолчанию. Соединение между пользовательским устройством и Zoom зашифровано по умолчанию сочетанием TLS 1.2+ (безопасность на транспортном уровне), 256-разрядного симметричного алгоритма шифрования AES GCM и SRTP (безопасного протокола передачи данных в реальном времени). Конкретные используемые методы зависят от того, используется ли клиент Zoom, веб-браузер, стороннее устройство либо служба или сервис Zoom Phone. Дополнительная информация содержится в нашем техническом документе по шифрованию.
  • Защита от неавторизованных участников конференций. Zoom реализует множество мер безопасности и управления, не позволяющих неавторизованным участникам присоединяться к конференциям. Они перечислены ниже.
    • 11-значные числовые уникальные идентификаторы конференций.
    • Сложные пароли.
    • Зал ожидания с возможностью автоматического допуска участников из вашего или другого указанного вами домена.
    • Функция блокировки конференции (Lock Meeting), позволяющая не допустить присоединения к конференции.
    • Возможность удалять участников.
    • Профили аутентификации, которые позволяют входить только зарегистрированным пользователям или ограничить доступ только для определенных доменов электронной почты.
    • Уведомитель о конференциях под угрозой — инструмент, проверяющий публикации на веб-сайтах общедоступных социальных сетей и в иных общедоступных онлайн-ресурсах на наличие ссылок на конференции Zoom. 
  • Выборочные приглашения на конференцию. Организатор может выбрать участников, которых необходимо пригласить по электронной почте, в чате или с помощью SMS. Это открывает дополнительные возможности контроля за распространением информации о доступе к конференции. Кроме того, организатор может создать конференцию, присоединиться к которой могут только пользователи с определенного домена электронной почты.
  • Безопасность конференции. В ходе конференции Zoom предоставляет каждому участнику Zoom Meeting защищенные данные мультимедиа в реальном времени. Любой контент, которым участники делятся в конференции, является лишь представлением оригинальных данных. Для такого контента выполняются шифрование и оптимизация демонстрации с помощью реализованных мер защиты.
  • Элементы управления организатора. Элементы управления организатора конференции позволяют запретить или разрешить участникам обмениваться контентом, пользоваться чатом и переименовывать себя.
  • Функция «Сообщить о пользователе». Функция «Сообщить о пользователе» позволяет организатору конференции сообщить о неподобающем поведении участника.
  • Встроенные элементы управления безопасностью. Элементы управления безопасностью объединены под значком «Безопасность» в главном интерфейсе.
  • Безопасность пользователей на основе ролей. Организатор конференции может воспользоваться следующими возможностями обеспечения безопасности до начала конференции:
    • использовать безопасный вход со стандартными именем пользователя и паролем или систему единого входа с SAML;
    • начать конференцию, защищенную кодом доступа;
    • запланировать конференцию, защищенную кодом доступа.
  • Предотвращение автоматизированных вызовов. Пользователи могут предотвратить автоматизированные вызовы за счет ограничения скорости и технологии reCAPTCHA (требует вмешательства оператора) на всех платформах.

 

Выбор центров обработки данных при передаче и хранении

Zoom понимает, что наши клиенты хотели бы иметь возможность выбирать центры обработки данных (ЦОД) для передачи и хранения своих данных. 

Передаваемые (или перемещаемые) данные — это данные, которые активно перемещаются из одного расположения в другое, например по интернету или частной сети. Что касается передачи данных, владельцы учетных записей и администраторы платных учетных записей могут отказаться от размещения передаваемых данных конференций и вебинаров в реальном времени в центре обработки данных в определенных регионах (подробнее об этом см. в этой статье справки). Zoom обеспечивает прозрачность маршрутизации данных в панели администрирования учетной записи. 

Хранимые данные — это данные, которые в данный момент не перемещаются активно между устройствами или сетями, например данные, хранящиеся в облачном центре обработки данных. Клиенты могут выбирать место хранения данных для некоторой части своего контента клиента. 

«Контент клиента» — это все данные, включая текстовые, аудио-, видео- или графические файлы, которые клиент помещает в службу Zoom для их обработки и загрузки на облачные серверы Zoom в целях хранения или дополнительной обработки. Контент клиента может включать, например, видеозаписи, записи в облаке, текстовые расшифровки, сообщения чата в конференции, сообщения постоянного чата и файлы, которыми участники обмениваются во время конференции.

Контент клиента, загружаемый им в облачный сервис Zoom, размещается в глобальной сети Amazon Web Services (AWS). Расположение центра обработки данных для каждого клиента Zoom может быть разным, если организация клиента пользуется нашей функцией выбора места для хранения содержимого коммуникаций. Эта функция позволяет международным компаниям выбирать регион, в котором будут храниться данные того или иного типа. Следует учитывать, что определенные категории данных все равно будут обрабатываться в США. 

 

Строгие протоколы реагирования на запросы государственных органов на предоставление информации 

Zoom ответственно подходит к вопросу защиты конфиденциальности своих клиентов и пользователей, поэтому мы передаем персональные данные только в ответ на правомерные запросы со стороны государственных органов и в соответствии с нашим Руководством по запросам государственных органов и актуальной правовой политикой. 

Во всех географических регионах действуют указанные далее требования.

  • Запросы государственных органов должны составляться в соответствии с действующими законами и нормами и направляться по официальным каналам, в том числе составляться по утвержденной форме с подписью уполномоченного лица или направляться по электронной почте с официального адреса электронной почты государственного органа.
  • Все запросы должны быть четко и недвусмысленно сформулированы и иметь веское юридическое основание. Мы будем отклонять или оспаривать запросы, не соответствующие данным требованиям.
  • Мы будем особенно тщательно рассматривать определенные запросы государственных органов в отношении данных пользователей, исходя из наших принципов и задачи обеспечивать эффективную коллективную работу по всему миру.

Если запрос сформулирован слишком расплывчато, Zoom будет оспаривать его правомочность, чтобы минимизировать спектр предоставляемой информации.

Как правило, Zoom уведомляет пользователей о полученных государственных запросах информации, в том числе предоставляя копию полученного запроса, если законом нам не запрещено уведомлять пользователя. Запросы, требующие не уведомлять пользователя, обязаны содержать описание неотложных обстоятельств или потенциально негативных последствий такого уведомления.

 

Более высокий уровень прозрачности 

  • Отчеты о прозрачности. Zoom опубликовала свой первый отчет о количестве запросов, полученных от органов США и других стран, в декабре 2020 года (Отчет о прозрачности: количество запросов от государственных органов). Мы стремимся к тому, чтобы каждый наш отчет о прозрачности был лучше предыдущего. Наш последний отчет о прозрачности размещен здесь. Другие отчеты о прозрачности будут доступны в центре доверия Zoom Trust Center. 
  • Встроенные уведомления. В ходе регулярных обновлений компания Zoom добавляет уведомления о конфиденциальности для конкретных функций продуктов Zoom, чтобы пользователь в процессе работы мог понять, кто может видеть и делиться контентом и информацией, которую он предоставляет в продуктах Zoom. Например, если пользователь хочет узнать, кто может видеть его сообщения в чате Zoom, он может перейти в раздел «Кто может видеть ваши сообщения?» и посмотреть, кто может получить доступ к сообщениям, которые он отправляет в группу, а также к личным сообщениям.

 

Все службы Zoom создаются с учетом требований GDPR 

Компания Zoom делает все возможное, чтобы выпускаемые функции продуктов соответствовали требованиям GDPR и обеспечивали защиту персональных данных, обрабатываемых с помощью наших служб. Более подробная информация о наших методах обращения с данными содержится в нашем Заявлении о конфиденциальности. Если у вас возникнут вопросы о GDPR, напишите нам на адрес электронной почты privacy@zoom.us.