Zoom ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR)

Güncelleme: 18 Ağustos 2023

Zoom'un misyonu, sorunsuz video iletişimiyle insanların mutlu olmasını sağlamaktır. Biz bu mutluluk için gizlilik ve güvenlik gerektiğini de biliyoruz. İşte bu nedenle müşterilerimizin iletişimlerini korumak ve Avrupa Ekonomik Alanı'ndaki ("AEA") veri gizliliği yükümlülüklerini (temel olarak Genel Veri Koruma Yönetmeliği – "GDPR") en yüksek seviyelerde güvenceye almak için çaba gösteriyoruz.

Zoom, GDPR'yi herkese fayda sağlayacak daha güçlü bir veri koruma oluşturma fırsatı olarak görmektedir. Zoom, müşterilerimizin (veri denetleyicileri) Zoom (veri işleyen) tarafından GDPR ile uyumluluk yükümlülüklerine uygun teknik ve organizasyonel tedbirler alındığından emin olması gerektiğini anlamaktadır. Zoom, veri denetleyicisi olarak rolü çerçevesinde müşterilerimize yardımcı olmak ve destek vermek için hazırdır.

Aşağıdaki temel bilgiler, Zoom'un veri koruma uygulamalarına yönelik taahhüdünü yansıtmaktadır.

 

Tüm Zoom müşterileri için sözleşmeye dayalı GDPR taahhütleri

GDPR, veri denetleyicilerinin (örneğin, Zoom'un hizmetlerini kullanan kuruluşlar ve geliştiriciler) yalnızca kişisel verileri veri denetleyicinin adına işleyen ve GDPR'nin belirli gereksinimlerini karşılamayla ilgili yeterli garantiler veren veri işleyicilerle (Zoom gibi) çalışmasını gerekli kılar. Zoom, bu taahhütleri Zoom'un Veri İşleme Ekini Zoom Hizmet Şartları'na dahil ederek tüm müşterilerimize sunar.

Zoom'un GDPR ile ilgili sözleşmeye dayalı taahhütleri:

  • Zoom, şeffaf olmaya çalışır ve kişisel verileri yalnızca hizmetlerimizin sağlanmasıyla ilgili sözleşmemizde belirtilen şekilde veya müşterilerimizin diğer talimatları doğrultusunda kullanmayı taahhüt eder.
  • Zoom, işlediğimiz kişisel verileri korumak için uygun teknik ve organizasyonel güvenlik tedbirlerini alır.
  • Zoom, veriyle ilişkili kişiler hizmetlerimiz kullanılarak işlenen kişisel verilere bağlı haklarını (bilgi talepleri, erişim, düzeltme ve silme) kullandıklarında müşterilerin yükümlülüklerini yerine getirmelerine yardımcı olur.

 

Uluslararası veri aktarım desteği

Temmuz 2020'de, Avrupa Birliği Adalet Divanı ("CJEU") AEA'nın dışına veri aktarımlarının geçerliliği ile ilgili dosya C-311/18 (genellikle "Schrems II kararı olarak bilinilir") için karara vardı. Schrems II kararının kaynağı, Maximillian Schrems adında Avusturyalı bir veri sahibinin şikayetiydi. Schrems, kişisel verilerinin ABD'ye ve aktarılması ve ABD devlet kurumlarının verilerine erişme potansiyeli hakkında şikayette bulunmuştu.

CJEU, Schrems II kararında AB-ABD Gizlilik Kalkanı çerçevesinin artık kişisel verilerin AEA'dan ABD'ye aktarılması için yasalara uygun bir yol sunmadığına hükmetti.

Ancak daha da önemlisi CJEU Avrupa Komisyonu'nun Standart Sözleşme Maddelerinin (veya "SCC"lerin), kişisel verilerin AEA'dan AEA dışındaki ülkelere aktarılması için yasalara uygun bir mekanizma olmaya devam ettiğine de hükmetti. Bu maddeler, Zoom'un uluslararası aktarımları için bir temel oluşturmaktadır.

Bu kararın ardından Avrupa Komisyonu Haziran 2021'de yeni SSC'leryayınladı. Zoom, Avrupa Komisyonu tarafından belirtilen geçiş dönemlerine uyarak (ör. yeni sözleşmeler için 27 Eylül 2021'e kadar ve mevcut sözleşmeler için 27 Aralık 2022'e kadar) yeni SCC'leri geçerli sözleşmelere dahil etti. Daha fazla bilgi için lütfen Yeni SCC'lerle ilgili Müşteri SSS'lerimizi inceleyin.

 

Yeni gereksinim: "Aktarımınızı Bilin"

Schrems II kararı yeni bir gereksinimi de uygulamaya koydu. Kişisel veriler AEA'nın dışında yeterli koruma seviyesi sağlamadığı kabul edilen bir ülkeye aktarılmadan önce veri ihracatçısı SCC'lerin, kişisel verilerin alıcı ülkede AB veri koruma yasalarıyla "esas olarak eşit" bir derecede korunmaya devam etmesini yeteri kadar sağlayıp sağlamadığını değerlendirmelidir.

Başka bir deyişle, artık veri ihracatçısı ve veri ithalatçısından SCC'lere güvenmeden önce verileri alan ülkedeki yasa ve uygulamaların sağlanan koruma seviyesine zarar verip vermediğini değerlendirmesi beklenmektedir. Müşterilerimize bu değerlendirme konusunda destek olmak amacıyla aşağıdaki ürünler için Veri Aktarımı Etki Değerlendirmeleri hazırladık:

Zoom Meetings/Webinars/Team Chat Veri Aktarımı Etki Değerlendirmesi
Zoom Phone Veri Aktarımı Etki Değerlendirmesi
Zoom Contact Center Veri Aktarımı Etki Değerlendirmesi
Zoom Virtual Agent Veri Aktarımı Etki Değerlendirmesi

 

Avrupa'da veri korumasını sağlamak için güçlü tedbirler

Zoom, üst düzeyde güvenlik sağlamayı taahhüt eder:

  • Zoom, taşıma ve bekleme hâlindeki verileri korumak için çeşitli şifreleme teknolojilerinden yararlanır.
  • Zoom, işleme sistemlerimiz ve hizmetlerinizin sürekli gizliliğine, bütünlüğüne, kullanılabilirliğine ve dayanıklılığına destek olmak için güvenlik tedbirleri alır.
  • Zoom, fiziksel veya teknik bir sorun ortaya çıktığında işleme sistemlerimizin ve hizmetlerimizin kısa sürede yeniden kullanılabilir ve erişilebilir olmasını kolaylaştırmak için önlemler alır.
  • Zoom, işlediğimiz verilerin güvenliğini desteklemek için teknik ve organizasyonel tedbirlerin verimliliğini düzenli olarak test eden ve değerlendiren bir süreç uygular.

Zoom'un Zoom platformu üzerinden gönderilen ve bu platformda depolanan iletişimlerin güvenliğini sağlamak için aldığı güvenlik tedbirleri özellikle şunları içerir:

  • Toplantılar için İsteğe Bağlı Uçtan Uca Şifreleme: Kullanıcılar, Zoom Toplantıları için uçtan uca şifrelemenin etkinleştirilmesini tercih edebilir. Bu, Zoom dahil hiçbir üçüncü taraf toplantının özel anahtarlarına erişemediği için üst düzey güvenlik sağlar.
  • Varsayılan Şifreleme: Belirli bir cihaz ile Zoom arasındaki bağlantı; TLS 1.2+ (Aktarım Katmanı Güvenliği), Gelişmiş Şifreleme Standardı 256-bit AES GCM şifreleme ve SRTP'nin (Güvenli Gerçek Zamanlı Aktarım Protokolü) karışımıyla varsayılan olarak şifrelenir. Kullanılan yöntemler, kullanıcının Zoom istemcisi, web tarayıcısı, üçüncü taraf cihaz veya hizmet ya da Zoom Phone ürününü kullanmasına göre değişir. Daha fazla bilgi için lütfen şifreleme teknik incelememizegöz atın.
  • Yetkisiz toplantı katılımcılarına karşı korumalar: Zoom, yetkisiz katılımcıların toplantılara katılmasını önlemek için çok sayıda önlem ve kontrol uygulamıştır:
    • On bir haneli benzersiz toplantı kimlikleri
    • Karmaşık parolalar
    • Etki alanı adınızdan veya seçilen başka bir etki alanından katılımcıları otomatik olarak kabul etme özelliğine sahip Bekleme Odaları
    • Toplantıya herhangi birinin katılmasını önleyebilen Toplantıyı Kilitle özelliği
    • Katılımcıları çıkarma olanağı
    • Yalnızca kayıtlı kullanıcılara veya belirli e-posta uzantılarına sahip kişilere giriş izni veren kimlik doğrulama profilleri
    • Risk Altındaki Toplantı Bildirimi aracı, Zoom Toplantı bağlantıları için sosyal medya sitelerindeki ve diğer genel çevrimiçi kaynaklardaki herkese açık gönderileri tarayabilir.
  • Seçime bağlı toplantı davetleri: Toplantı sahibi, istediği katılımcıları seçerek e-posta, anlık mesajlaşma veya SMS ile davet edebilir. Böylece toplantı erişim bilgilerinin dağıtımı üzerinde daha fazla kontrol elde eder. Ayrıca toplantı sahibi, toplantıyı yalnızca belirli bir e-posta etki alanından üyelerin katılmasına izin verilecek şekilde oluşturabilir.
  • Toplantı sırasında güvenlik: Zoom, toplantı sırasında Zoom Toplantısındaki her katılımcıya güvenli şekilde gerçek zamanlı, zengin medya içeriği sağlar. Toplantıda katılımcılarla paylaşılan tüm içerikler, orijinal verilerin yalnızca bir temsilidir. Bu içerikler, güvenli bir uygulamadan yararlanılarak paylaşım için kodlanır ve optimize edilir:
  • Oturum sahibi kontrolleri: Toplantı sahibi kontrolleri, katılımcılar için içerik paylaşımı, sohbet ve kendilerini yeniden adlandırma özelliklerini etkinleştirebilir/devre dışı bırakabilir.
  • Raporlama: Kullanıcı bildiri özelliği, toplantı sahibinin sorunlu davranışı bildirmesini sağlar.
  • Ürün güvenliği kontrolleri: Ana arayüzde özel bir Güvenlik simgesine sahip güvenlik kontrolleri.
  • Role dayalı kullanıcı güvenliği: Toplantı sahibine, toplantı öncesinde kullanabilecekleri aşağıdaki güvenlik olanakları sunulur:
    • Standart kullanıcı adı ve parola veya SAML çoklu oturum açma kullanılarak güvenli oturum açma
    • Parolayla güvenli toplantı başlatma
    • Parolayla güvenli toplantı planlama
  • Robot çağrı önleme: Kullanıcılar, tüm platformlarda etkinleştirilmiş hız sınırlaması ve reCAPTCHA (insan müdahalesi gerektirir) özellikleri ile robot çağrıları önleyebilir.

 

Veri işleme ve depolama için seçenekler

Zoom, müşterilerimizin belirli verileri işleyen ve depolayan veri merkezleri ile ilgili seçeneklere sahip olmak isteyebileceklerini anlar.

Aktarılan ve işlenen veriler: Zoom, aktarım halindeki müşteri verilerini, birleştirilmiş veri merkezlerinden ve genel bulut veri merkezlerinden (Amazon Web Services ["AWS"] veri merkezleri dahil) oluşan küresel ağ üzerinden yönlendirir. Zoom hizmetleri, Zoom ekosistemine giren bilgilerin verileri gönderen veya alan kullanıcıya en yakın veri merkezi aracılığıyla yönlendirileceği bir çalışma yapısıyla tasarlanmıştır.

Ücretli hesaplardaki hesap sahipleri ve yöneticiler, toplantılara ve web seminerlerine ev sahipliği yapılırken katılımcıların toplantılarına ve web seminerlerine ait gerçek zamanlı videoların ve seslerin ve paylaşımlı içeriklerin işlenmesi için kullanılacak belirli Zoom veri merkezlerini hesap, grup veya kullanıcı düzeyinde etkinleştirebilir veya devre dışı bırakabilir. Bir hesabın hazırlandığı bölgeyi destekleyen ülkedeki veri merkezleri, işleme için tercih edilen seçenek olarak kilitlenecektir. Zoom veri merkezi seçenekleri yalnızca söz konusu hesabın bir toplantı veya web seminerinin oturum sahibi olması durumunda geçerlidir. Bir toplantının veya web seminerinin oturum sahibi olan bir hesap herhangi bir veri merkezini/merkezlerini devre dışı bırakırsa toplantılara ve web seminerlerine ait gerçek zamanlı videolar, sesler ve paylaşımlı içerikler yalnızca etkinleştirilen Zoom veri merkezi tarafından işlenecektir. Ancak Zoom, Zoom özel ağ bağlantılarından (yani uç yönlendirmesinden) geçerken endüstri standardı ağ yönlendirme protokollerini kullanarak veri merkezleri arasındaki trafiği yönlendirebilir. Ayrıntılı bilgileri bu Yardım Makalesinde bulabilirsiniz.

Veri depolama: Müşteriler, bazı bekleyen Müşteri İçerikleri için veri depolama konumunu seçebilir. Müşteri İçeriği; bir müşterinin bir toplantı veya web semineri sırasında kaydetmeyi veya paylaşmayı tercih ettiği bulut kayıtları, toplantı dökümleri, sohbet dökümleri (toplantı içi ve kalıcı) ve bir toplantı sırasında veya kalıcı sohbet kanalında alınıp verilen dosyalar gibi tüm veriler de dahil olmak üzere bir müşterinin Zoom hizmetini kullanırken sağladığı bilgilerdir.

Müşteri İçeriği varsayılan olarak ABD'de depolanır. Ücretli hesap kullanan müşteriler, hesaplarına ilişkin bazı Müşteri İçerikleri için depolama konumunu seçebilir. Bu ayar yalnızca hesap sahipleri, hesap yöneticileri veya müşteri hesabı profili ayrıcalığına sahip kullanıcılar tarafından değiştirilebilir. Ayrıntılı bilgileri bu Yardım Makalesinde bulabilirsiniz. Müşteri İçeriğinin, Hesap Verilerinin ve Tanılama Verilerinin hâlâ ABD'de depolandığını lütfen unutmayın.

 

Resmi bilgi taleplerine yanıt vermek için katı protokoller

Zoom, müşterilerimizin ve kullanıcılarımızın gizliliğini korumayı taahhüt eder ve kullanıcı verilerini devletlere ancak Devlet Talepleri Rehberimiz ve ilgili yasal ilkelere uygun geçerli ve hukuki talepler karşılığında verir.

Tüm coğrafi alanlarda:

  • Devlet talepleri, geçerli yasalara ve düzenlemelere uygun olarak resmi kanallardan yapılmalıdır. Talepler için imzalı bir resmi belge veya devlet kurumunun resmi e-posta adresinden gönderilmiş e-posta talebi gerekir.
  • Her talep açık olmalı, geniş kapsamlı olmamalı ve geçerli bir yasal dayanağa sahip olmalıdır. Bu gereksinimleri karşılamayan talepleri reddedecek veya sorgulayacağız.
  • Tüm dünyada başarılı iş birliğini teşvik etmeyle ilgili ilkelerimiz ve çıkarlarımıza dayanarak kullanıcı bilgilerine yönelik belirli devlet taleplerini daha detaylı olarak inceleyeceğiz.

Bir talep pek anlaşılmıyorsa Zoom gönderilen bilgilerin kapsamını daraltmak için talebin geçerliliğini sorgulayacaktır.

Zoom, kullanıcıyı bilgilendirmemiz yasalar gereği yasak olmadığı sürece genellikle devletin bilgi taleplerini alınan talebin kopyasıyla birlikte kullanıcıya bildirir. Kullanıcının bilgilendirilmemesi için yapılacak istisna talepleri, acil şartların açıklamasını veya bildirimin olası olumsuz sonucunu içermelidir.

 

Daha Fazla Şeffaflık

  • Şeffaflık Raporları: Zoom, ABD ve uluslararası kurumlardan alınan talep sayısıyla ilgili ilk raporunu Aralık 2020'de yayınlamıştır (Devlet Talebi Şeffaflık Raporu). Bir önceki raporun üzerine koymak için her şeffaflık raporu üzerinde çalışırız. En son Şeffaflık Raporumuzu buradan edinebilirsiniz. Ek Şeffaflık Raporları Zoom Güven Merkezi'nde kullanıma sunulacaktır.
  • Ürün İçi Bildirimler: Zoom, kullanıcıların Zoom'da paylaştıkları içeriği kimlerin görüp paylaşabileceğini bağlam içinde anlamasına yardımcı olmak için Zoom deneyimine sürekli olarak özel gizlilik bildirimlerini entegre edecek şekilde güncellemektedir. Örneğin, bir kullanıcı Zoom'un sohbet özelliğinde gönderdikleri mesajları kimlerin görebileceğini bilmek isterse herkese gönderdikleri mesajlara ve özel mesajlarına kimlerin erişebileceğini görmek için "Mesajlarınızı kimler görebilir?" bölümüne gidebilir.

 

Zoom, hizmetlerini GDPR gereksinimlerini ön plana alarak tasarlar

Zoom, GDPR gereksinimleriyle uyumlu olan ürün özellikleri geliştirmek ve hizmetlerimiz aracılığıyla işlenen kişisel verilerin korunmasını teşvik etmek için gerekli her çabayı göstermeyi taahhüt eder. Veri uygulamaları hakkında daha fazla bilgi için Gizlilik Bildirimimizi inceleyebilir veya GDPR ile ilgili sorularınız varsa privacy@zoom.us adresine e-posta gönderebilirsiniz.