Zoom ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR)

Güncellenme Tarihi: 30 Aralık 2022

Zoom'un misyonu, sorunsuz video iletişimiyle insanların mutlu olmasını sağlamaktır. Biz bu mutluluk için gizlilik ve güvenlik gerektiğini de biliyoruz. İşte bu nedenle müşterilerimizin iletişimlerini korumak ve Avrupa Ekonomik Alanı'ndaki ("AEA") veri gizliliği yükümlülüklerini (temel olarak Genel Veri Koruma Yönetmeliği – "GDPR") en yüksek seviyelerde güvenceye almak için çaba gösteriyoruz.

Zoom, GDPR'yi herkese fayda sağlayacak daha güçlü bir veri koruma oluşturma fırsatı olarak görmektedir. Zoom, müşterilerimizin (veri denetleyicileri) Zoom (veri işleyen) tarafından GDPR ile uyumluluk yükümlülüklerine uygun teknik ve organizasyonel tedbirler alındığından emin olması gerektiğini anlamaktadır. Zoom, veri denetleyicisi olarak rolü çerçevesinde müşterilerimize yardımcı olmak ve destek vermek için hazırdır. 

Aşağıdaki temel bilgiler, Zoom'un veri koruma uygulamalarına yönelik taahhüdünü yansıtmaktadır. 

 

Tüm Zoom müşterileri için sözleşmeye dayalı GDPR taahhütleri

GDPR, veri denetleyicilerinin (örneğin, Zoom'un hizmetlerini kullanan kuruluşlar ve geliştiriciler) yalnızca kişisel verileri veri denetleyicinin adına işleyen ve GDPR'nin belirli gereksinimlerini karşılamayla ilgili yeterli garantiler veren veri işleyicilerle (Zoom gibi) çalışmasını gerekli kılar. Zoom, bu taahhütleri Zoom'un Veri İşleme Ekini Zoom Hizmet Şartları'na dahil ederek tüm müşterilerimize sunar. 

Zoom'un GDPR ile ilgili sözleşmeye dayalı taahhütleri:

  • Zoom, şeffaf olmaya çalışır ve kişisel verileri yalnızca hizmetlerimizin sağlanmasıyla ilgili sözleşmemizde belirtilen şekilde veya müşterilerimizin diğer talimatları doğrultusunda kullanmayı taahhüt eder.
  • Zoom, işlediğimiz kişisel verileri korumak için uygun teknik ve organizasyonel güvenlik tedbirlerini alır. 
  • Zoom, veriyle ilişkili kişiler hizmetlerimiz kullanılarak işlenen kişisel verilere bağlı haklarını (bilgi talepleri, erişim, düzeltme ve silme) kullandıklarında müşterilerin yükümlülüklerini yerine getirmelerine yardımcı olur.

 

Uluslararası veri aktarım desteği

Temmuz 2020'de, Avrupa Birliği Adalet Divanı ("CJEU") AEA'nın dışına veri aktarımlarının geçerliliği ile ilgili dosya C-311/18 (genellikle "Schrems II kararı olarak bilinilir") için karara vardı. Schrems II kararının kaynağı, Maximillian Schrems adında Avusturyalı bir veri sahibinin şikayetiydi. Schrems, kişisel verilerinin ABD'ye ve aktarılması ve ABD devlet kurumlarının verilerine erişme potansiyeli hakkında şikayette bulunmuştu.

CJEU, Schrems II kararında AB-ABD Gizlilik Kalkanı çerçevesinin artık kişisel verilerin AEA'dan ABD'ye aktarılması için yasalara uygun bir yol sunmadığına hükmetti. 

Ancak daha da önemlisi CJEU Avrupa Komisyonu'nun Standart Sözleşme Maddelerinin (veya "SCC"lerin), kişisel verilerin AEA'dan AEA dışındaki ülkelere aktarılması için yasalara uygun bir mekanizma olmaya devam ettiğine de hükmetti. Bu maddeler, Zoom'un uluslararası aktarımları için bir temel oluşturmaktadır. 

Bu kararın ardından Avrupa Komisyonu Haziran 2021'de yeni SCC'ler yayınladı. Zoom, Avrupa Komisyonu tarafından belirtilen geçiş dönemlerine uyarak (ör. yeni sözleşmeler için 27 Eylül 2021'e kadar ve mevcut sözleşmeler için 27 Aralık 2022'e kadar) yeni SCC'leri geçerli sözleşmelere dahil etti.  Daha fazla bilgi için lütfen Yeni SCC'lerle ilgili Müşteri SSS'lerimizi inceleyin. 

 

Yeni gereksinim: "Aktarımınızı Bilin"

Schrems II kararı yeni bir gereksinimi de uygulamaya koydu. Kişisel veriler AEA'nın dışında yeterli koruma seviyesi sağlamadığı kabul edilen bir ülkeye aktarılmadan önce veri ihracatçısı SCC'lerin, kişisel verilerin alıcı ülkede AB veri koruma yasalarıyla "esas olarak eşit" bir derecede korunmaya devam etmesini yeteri kadar sağlayıp sağlamadığını değerlendirmelidir.

Başka bir deyişle, artık veri ihracatçısı ve veri ithalatçısından SCC'lere güvenmeden önce verileri alan ülkedeki yasa ve uygulamaların sağlanan koruma seviyesine zarar verip vermediğini değerlendirmesi beklenmektedir. Bu değerlendirmede müşterilerimizi desteklemek için, aşağıdaki ürünlere yönelik olarak Veri Aktarımı Etki Değerlendirmelerini hazırladık:

Zoom Meetings/Webinar/Chat Verileri Aktarımı Etki Değerlendirmesi
Zoom Phone Veri Aktarımı Etki Değerlendirmesi
Zoom Contact Center Veri Aktarımı Etki Değerlendirmesi

Zoom'un kişisel verileri AEA veya Birleşik Krallık'tan ABD'de bulunan Zoom'a aktarırken uyguladığı adımlar ve ek güvenlik önlemleri hakkında daha fazla bilgi için lütfen “SSS: Verilerin Uluslararası Aktarımı bölümüne bakın.

 

Avrupa'da veri korumasını sağlamak için güçlü tedbirler 

Zoom, üst düzeyde güvenlik sağlamayı taahhüt eder:

  • Zoom, taşıma ve bekleme hâlindeki verileri korumak için çeşitli şifreleme teknolojilerinden yararlanır.
  • Zoom, işleme sistemlerimiz ve hizmetlerinizin sürekli gizliliğine, bütünlüğüne, kullanılabilirliğine ve dayanıklılığına destek olmak için güvenlik tedbirleri alır.
  • Zoom, fiziksel veya teknik bir sorun ortaya çıktığında işleme sistemlerimizin ve hizmetlerimizin kısa sürede yeniden kullanılabilir ve erişilebilir olmasını kolaylaştırmak için önlemler alır.
  • Zoom, işlediğimiz verilerin güvenliğini desteklemek için teknik ve organizasyonel tedbirlerin verimliliğini düzenli olarak test eden ve değerlendiren bir süreç uygular.

Zoom'un Zoom platformu üzerinden gönderilen ve bu platformda depolanan iletişimlerin güvenliğini sağlamak için aldığı güvenlik tedbirleri özellikle şunları içerir:

  • Toplantılar için İsteğe Bağlı Uçtan Uca Şifreleme: Kullanıcılar, Zoom Toplantıları için uçtan uca şifrelemenin etkinleştirilmesini tercih edebilir. Bu, Zoom dahil hiçbir üçüncü taraf toplantının özel anahtarlarına erişemediği için üst düzey güvenlik sağlar. 
  • Varsayılan Şifreleme: Belirli bir cihaz ile Zoom arasındaki bağlantı; TLS 1.2+ (Aktarım Katmanı Güvenliği), Gelişmiş Şifreleme Standardı 256-bit AES GCM şifreleme ve SRTP'nin (Güvenli Gerçek Zamanlı Aktarım Protokolü) karışımıyla varsayılan olarak şifrelenir. Kullanılan yöntemler, kullanıcının Zoom istemcisi, web tarayıcısı, üçüncü taraf cihaz veya hizmet ya da Zoom Phone ürününü kullanmasına göre değişir. Daha fazla bilgi için lütfen şifreleme teknik incelememizegöz atın.
  • Yetkisiz toplantı katılımcılarına karşı korumalar: Zoom, yetkisiz katılımcıların toplantılara katılmasını önlemek için çok sayıda önlem ve kontrol uygulamıştır:
    • On bir haneli benzersiz toplantı kimlikleri
    • Karmaşık parolalar
    • Etki alanı adınızdan veya seçilen başka bir etki alanından katılımcıları otomatik olarak kabul etme özelliğine sahip Bekleme Odaları
    • Toplantıya herhangi birinin katılmasını önleyebilen Toplantıyı Kilitle özelliği
    • Katılımcıları çıkarma olanağı
    • Yalnızca kayıtlı kullanıcılara veya belirli e-posta uzantılarına sahip kişilere giriş izni veren kimlik doğrulama profilleri
    • Risk Altındaki Toplantı Bildirimi aracı, Zoom Toplantı bağlantıları için sosyal medya sitelerindeki ve diğer genel çevrimiçi kaynaklardaki herkese açık gönderileri tarayabilir 
  • Seçime bağlı toplantı davetleri: Toplantı sahibi, istediği katılımcıları seçerek e-posta, anlık mesajlaşma veya SMS ile davet edebilir. Böylece toplantı erişim bilgilerinin dağıtımı üzerinde daha fazla kontrol elde eder. Ayrıca toplantı sahibi, toplantıyı yalnızca belirli bir e-posta etki alanından üyelerin katılmasına izin verilecek şekilde oluşturabilir.
  • Toplantı sırasında güvenlik: Zoom, toplantı sırasında Zoom Toplantısındaki her katılımcıya güvenli şekilde gerçek zamanlı, zengin medya içeriği sağlar. Toplantıda katılımcılarla paylaşılan tüm içerikler, orijinal verilerin yalnızca bir temsilidir. Bu içerikler, güvenli bir uygulamadan yararlanılarak paylaşım için kodlanır ve optimize edilir:
  • Oturum sahibi kontrolleri: Toplantı sahibi kontrolleri, katılımcılar için içerik paylaşımı, sohbet ve kendilerini yeniden adlandırma özelliklerini etkinleştirebilir/devre dışı bırakabilir.
  • Raporlama: Kullanıcı bildiri özelliği, toplantı sahibinin sorunlu davranışı bildirmesini sağlar.
  • Ürün güvenliği kontrolleri: Ana arayüzde özel bir Güvenlik simgesine sahip güvenlik kontrolleri.
  • Role dayalı kullanıcı güvenliği: Toplantı sahibine, toplantı öncesinde kullanabilecekleri aşağıdaki güvenlik olanakları sunulur:
    • Standart kullanıcı adı ve parola veya SAML çoklu oturum açma kullanılarak güvenli oturum açma
    • Parolayla güvenli toplantı başlatma
    • Parolayla güvenli toplantı planlama
  • Robot çağrı önleme: Kullanıcılar, tüm platformlarda etkinleştirilmiş hız sınırlaması ve reCAPTCHA (insan müdahalesi gerektirir) özellikleri ile robot çağrıları önleyebilir.

 

Aktarılan ve bekleyen veriler için seçenekler

Zoom, müşterilerimizin aktarım ve bekleme hâlindeki verilerini işleyen veri merkezleri hakkında seçenekler isteyebileceklerini anlar.  

Aktarılan veriler veya hareket hâlindeki veriler, bir konumdan diğerine etkin bir şekilde taşınan verilerdir. Bu durumda veriler, örneğin internet veya özel bir ağ üzerinden taşınabilir. Aktarılan veriler için ücretli hesaplardaki hesap sahipleri ve yöneticiler, belirli veri merkezi bölgelerinin aktarılan gerçek zamanlı toplantı ve web semineri verilerini barındırmasını engelleyebilir (bu yardım makalesine bakın). Zoom, hesap yönetimi gösterge paneli üzerinden veri yönlendirmede şeffaflık sağlar. 

Bekleyen veriler, cihazlar veya ağlar arasında etkin bir şekilde taşınmayan verilerdir. Bunlara örnek olarak bulut veri merkezinde depolanan veriler verilebilir. Müşteriler, bekleyen müşteri içeriklerinden bir kısmı için veri depolama konumunu seçebilir. 

"Müşteri İçeriği", bir müşterinin işlenmek üzere Zoom'a yerleştirdiği ve depolanması veya daha fazla işlenmesi için Zoom'un bulut sunucularına yüklediği metin, ses, video ya da görüntü dosyaları dahil tüm verilerdir. Müşteri İçeriği, örneğin video kayıtları, bulut kayıtları, dökümler, toplantı içi sohbet, kalıcı sohbet ve toplantı içinde paylaşılan dosyaları içerebilir.

Bir Müşteri Zoom bulut hizmetine Müşteri İçeriği yüklerse bu içerik Amazon Web Services'ın ("AWS") küresel ağında barındırılır. Her Zoom müşterisi için geçerli olan veri merkezi barındırma konumu, kuruluş iletişim içeriği depolama özelliğimizi kullanıyorsa farklılık gösterebilir. Bu depolama konumu özelliği, küresel ekiplerin bekleyen belirli türden verilerin depolanacağı bölgeyi seçmesine olanak tanır. Lütfen belirli veri kategorilerinin hâlâ ABD'de işlendiğini unutmayın. 

 

Resmi bilgi taleplerine yanıt vermek için katı protokoller 

Zoom, müşterilerimizin ve kullanıcılarımızın gizliliğini korumayı taahhüt eder ve kullanıcı verilerini devletlere ancak Devlet Talepleri Rehberimiz ve ilgili yasal ilkelere uygun geçerli ve hukuki talepler karşılığında verir. 

Tüm coğrafi alanlarda:

  • Devlet talepleri, geçerli yasalara ve düzenlemelere uygun olarak resmi kanallardan yapılmalıdır. Talepler için imzalı bir resmi belge veya devlet kurumunun resmi e-posta adresinden gönderilmiş e-posta talebi gerekir.
  • Her talep açık olmalı, geniş kapsamlı olmamalı ve geçerli bir yasal dayanağa sahip olmalıdır. Bu gereksinimleri karşılamayan talepleri reddedecek veya sorgulayacağız.
  • Tüm dünyada başarılı iş birliğini teşvik etmeyle ilgili ilkelerimiz ve çıkarlarımıza dayanarak kullanıcı bilgilerine yönelik belirli devlet taleplerini daha detaylı olarak inceleyeceğiz.

Bir talep pek anlaşılmıyorsa Zoom gönderilen bilgilerin kapsamını daraltmak için talebin geçerliliğini sorgulayacaktır.

Zoom, kullanıcıyı bilgilendirmemiz yasalar gereği yasak olmadığı sürece genellikle devletin bilgi taleplerini alınan talebin kopyasıyla birlikte kullanıcıya bildirir. Kullanıcının bilgilendirilmemesi için yapılacak istisna talepleri, acil şartların açıklamasını veya bildirimin olası olumsuz sonucunu içermelidir.

 

Daha Fazla Şeffaflık 

  • Şeffaflık Raporları: Zoom, ABD ve uluslararası kurumlardan alınan talep sayısıyla ilgili ilk raporunu Aralık 2020'de yayınlamıştır (Devlet Talebi Şeffaflık Raporu). Bir önceki raporun üzerine koymak için her şeffaflık raporu üzerinde çalışırız. En son Şeffaflık Raporumuzu buradan edinebilirsiniz. Ek Şeffaflık Raporları Zoom Güven Merkezi'nde kullanıma sunulacaktır. 
  • Ürün İçi Bildirimler: Zoom, kullanıcıların Zoom'da paylaştıkları içeriği kimlerin görüp paylaşabileceğini bağlam içinde anlamasına yardımcı olmak için Zoom deneyimine sürekli olarak özel gizlilik bildirimlerini entegre edecek şekilde güncellemektedir. Örneğin, bir kullanıcı Zoom'un sohbet özelliğinde gönderdikleri mesajları kimlerin görebileceğini bilmek isterse herkese gönderdikleri mesajlara ve özel mesajlarına kimlerin erişebileceğini görmek için "Mesajlarınızı kimler görebilir?" bölümüne gidebilir.

 

Zoom, hizmetlerini GDPR gereksinimlerini ön plana alarak tasarlar 

Zoom, GDPR gereksinimleriyle uyumlu olan ürün özellikleri geliştirmek ve hizmetlerimiz aracılığıyla işlenen kişisel verilerin korunmasını teşvik etmek için gerekli her çabayı göstermeyi taahhüt eder. Veri uygulamaları hakkında daha fazla bilgi için Gizlilik Bildirimimizi inceleyebilir veya GDPR ile ilgili sorularınız varsa privacy@zoom.us adresine e-posta gönderebilirsiniz.