Ostatnia aktualizacja: 8 sierpnia 2024 r.
Zoom i ogólne rozporządzenie Unii Europejskiej o ochronie danych osobowych (RODO)
Misją firmy Zoom jest dostarczanie radości poprzez bezproblemową komunikację wideo. Rozumiemy, że taka radość wymaga zapewnienia prywatności i bezpieczeństwa. Właśnie dlatego dążymy do możliwie najlepszej ochrony i zabezpieczania komunikacji naszych klientów, np. zgodnie z wymaganiami dotyczącymi prywatności danych stosowanymi w Europejskim Obszarze Gospodarczym („EOG”) — głównie z Ogólnym rozporządzeniem o ochronie danych osobowych („RODO”).
Firma Zoom popiera dyrektywę RODO jako fundament ochrony danych z korzyścią dla wszystkich ludzi, nie tylko w Europie. Zoom wspiera swoich klientów poprzez wdrażanie środków technicznych i organizacyjnych w sposób zgodny z wymogami RODO. Firma Zoom chętnie będzie wspomagać swoich klientów w roli administratorów danych.
Poniższe kluczowe fakty odzwierciedlają zaangażowanie firmy Zoom w praktyki ochrony danych osobowych.
Jeśli chcesz dowiedzieć się więcej o praktykach Zoom w zakresie ochrony danych, zapoznaj się również z oceną wpływu Zoom na ochronę danych („DPIA”) przeprowadzoną we współpracy ze związkiem holenderskich instytucji edukacyjnych i badawczych SURF w tym wpisie na blogu (oraz z oceną DPIA firmy Privacy Company).
Umowne zobowiązania RODO dla wszystkich klientów Zoom
Rozporządzenie RODO wymaga, aby administratorzy danych (np. organizacje i deweloperzy korzystający z usług Zoom) korzystali tylko z podmiotów przetwarzających dane (takich jak Zoom), które przetwarzają dane osobowe w imieniu administratora danych i zapewniają odpowiednie gwarancje spełnienia konkretnych wymagań RODO. Firma Zoom zapewnia te zobowiązania wszystkim swoim klientom poprzez włączenie załącznika dotyczącego przetwarzania danych osobowych przez firmę Zoom do warunków świadczenia usług Zoom.
Umowne zobowiązania Zoom dotyczące rozporządzenia RODO:
- Firma Zoom dąży do transparentności i chce wykorzystywać dane osobowe tylko w taki sposób, jaki został określony w naszej umowie o świadczenie usług lub w sposób inaczej określony przez naszych klientów.
- Firma Zoom utrzymuje odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić przetwarzane dane osobowe.
- Firma Zoom wspiera klientów w spełnianiu ich obowiązków, gdy osoby, których dane dotyczą, korzystają ze swoich praw powiązanych z danymi osobowymi przetwarzanymi przy użyciu naszych usług (np. praw związanych z uzyskiwaniem informacji, dostępem, poprawianiem i usuwaniem danych).
Zabezpieczenia międzynarodowego transferu danych
Stany Zjednoczone Ameryki
RODO zawiera szczegółowe zasady przekazywania danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG). Zasadniczo dane osobowe mogą być przekazywane do krajów spoza EOG tylko wtedy, gdy kraj ten zapewnia odpowiedni poziom ochrony.
Adekwatność określa, czy środki ochrony danych kraju spoza UE są uważane za odpowiednie do zapewnienia poziomu ochrony równoważnego z tym zapewnianym w UE. Decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony pozwala na swobodny przepływ danych osobowych z UE do państw trzecich bez konieczności stosowania dodatkowych zabezpieczeń. Od 10 lipca 2023 r. obowiązuje nowa decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony dla uczestników Ram ochrony prywatności danych UE-USA (DPF). Firma Zoom zarejestrowała się jako aktywny uczestnik.
Ramy ochrony danych (DPF) powstały w odpowiedzi na rosnące obawy dotyczące ochrony danych i prywatności w erze cyfrowej. Mają one na celu harmonizację i wzmocnienie standardów ochrony danych, w szczególności w zakresie transgranicznego przekazywania danych osobowych. Znaczenie ram ochrony danych polega na ich roli w ułatwianiu międzynarodowego handlu i komunikacji przy jednoczesnym zapewnieniu ochrony praw do prywatności osób fizycznych. Ich znaczenie rozciąga się na różne zainteresowane strony, w tym przedsiębiorstwa, organy regulacyjne i osoby fizyczne, poprzez ustanowienie jasnych wytycznych i obowiązków w zakresie przetwarzania danych. Zastosowanie ram ochrony danych ma kluczowe znaczenie w kontekście bezpiecznego przekazywania danych, ponieważ zapewniają ramy prawne, które zapewniają zgodność z przepisami o ochronie danych, wspierając w ten sposób zaufanie i odpowiedzialność w transgranicznej wymianie danych.
Inne kraje trzecie
Dane osobowe mogą być przekazywane z EOG do krajów trzecich spoza EOG przy użyciu standardowych klauzul umownych (SCC, znanych również jako klauzule modelowe UE) przyjętych przez Komisję Europejską. Te SCC umownie zapewniają wysoki poziom ochrony. Firma Zoom wdrożyła nowe SCC w 2021 roku do standardowego DPA Zoom. Zoom włączył nowe SCC do obowiązujących umów zgodnie z okresami przejściowymi określonymi przez Komisję Europejską. Więcej informacji można znaleźć w często zadawanych pytaniach dotyczących nowych SCC.
Ocena wpływu przekazywania danych
Aby pomóc klientom Zoom w spełnieniu dodatkowych wymagań podczas korzystania z SCC, Zoom oferuje poniższe oceny wpływu przekazywania danych dla różnych produktów. Zgodnie z powszechną najlepszą praktyką oczekuje się, że eksporter i importer danych ocenią, czy przepisy i praktyki w kraju otrzymującym dane mogą podważyć poziom ochrony zapewniany w inny sposób.
Ocena wpływu przekazania danych dla Zoom Meetings/Webinar/Chat
Ocena wpływu przekazania danych dla Zoom Phone
Ocena wpływu przekazania danych dla Zoom Contact Center
Ocena wpływu przekazania danych dla Wirtualnego Agenta Zoom
Żądania dostępu dla osób, których dotyczą dane
Żądania dostępu dla osób, których dotyczą dane to mechanizm przewidziany w ogólnym rozporządzeniu o ochronie danych (RODO), który umożliwia osobom fizycznym, znanym jako osoby, których dane dotyczą, żądanie dostępu do ich danych osobowych przechowywanych przez organizacje. Ponadto osoby, których dane dotyczą, mogą zażądać poprawienia niedokładnych lub niekompletnych danych osobowych. Gwarantuje to, że wszelkie błędy w danych zostaną niezwłocznie skorygowane. W pewnych okolicznościach osoby fizyczne mają prawo zażądać usunięcia swoich danych osobowych (powszechnie określane jako prawo do bycia zapomnianym). Jest to podstawowe prawo wynikające z RODO, podkreślające przejrzystość i kontrolę osób fizycznych nad ich danymi osobowymi. Zoom oferuje swoim klientom samoobsługowe narzędzie do prostego i łatwego korzystania z tych praw. Więcej informacji na temat tego narzędzia można znaleźć na naszej stronie pomocy.
Przechowywanie danych
Zoom oferuje europejskim klientom na kwalifikujących się płatnych kontach opcję korzystania z centrów danych w Unii Europejskiej. Klienci mogą wybrać regiony centrów danych, a także automatycznie określony region macierzysty, do hostowania ruchu spotkań i webinarów w czasie rzeczywistym. Klienci mogą również zdecydować się na przechowywanie nagrań lokalnie na własnych urządzeniach lub w lokalnym centrum danych. Więcej informacji można znaleźć na naszej stronie pomocy. Dla takich klientów Zoom oferuje również możliwość przetwarzania wszystkich danych wsparcia wyłącznie w UE. Jeśli chcą uzyskać wsparcie poza zwykłymi godzinami pracy w UE, mogą wyrazić indywidualną zgodę na przekazanie danych osobowych do centrum pomocy poza UE.
Silne, konkretne środki zapewniające europejski poziom ochrony danych
Firma Zoom zobowiązuje się do utrzymania wysokiego poziomu bezpieczeństwa:
- Firma Zoom wykorzystuje szereg technologii szyfrowania, aby chronić dane osobowe klientów podczas transferu i przechowywania.
- Firma Zoom wykorzystuje środki bezpieczeństwa wspierające ciągłą poufność, spójność, dostępność i odporność naszych systemów i usług związanych z przetwarzaniem danych.
- Firma Zoom podejmuje środki ułatwiające szybkie przywrócenie dostępności i dostępu do naszych systemów i usług przetwarzania w przypadku incydentu fizycznego lub technicznego.
- Firma Zoom wdraża proces regularnego testowania, oceniania i ewaluacji efektywności technicznych i organizacyjnych środków ochronnych, aby wspierać bezpieczeństwo przetwarzanych danych.
W szczególności firma Zoom stosuje różne środki bezpieczeństwa w celu ochrony komunikacji z klientami przesyłanej i przechowywanej na swojej platformie. Środki te obejmują następujące rozwiązania:
- Opcjonalne szyfrowanie end-to-end dla Zoom Meetings: Użytkownicy mogą włączyć szyfrowanie end-to-end dla Zoom Meetings. Szyfrowanie end-to-end służy do szyfrowania danych między wszystkimi uczestnikami spotkania, dzięki czemu żaden dostawca ani system pośredniczący nie może uzyskać dostępu do komunikacji, nawet Zoom.
- Szyfrowanie domyślne: połączenie pomiędzy danym urządzeniem i serwerami Zoom jest domyślnie szyfrowane przy użyciu kombinacji protokołu TLS 1.2+ (Transport Layer Security), standardu szyfrowania zaawansowanego 256-bit AES GCM oraz protokołu SRTP (Secure Real-time Transport Protocol). Konkretne metody zależą od tego, czy użytkownik korzysta z klienta stacjonarnego Zoom, przeglądarki internetowej, urządzenia lub usługi zewnętrznej, czy też produktu Zoom Phone. Aby uzyskać więcej informacji, przeczytaj oficjalny dokument dotyczący szyfrowania.
- Ochrona przed dostępem nieautoryzowanych użytkowników do spotkania: firma Zoom wdrożyła wiele zabezpieczeń i elementów kontrolnych, aby uniemożliwiać nieautoryzowanym użytkownikom dołączanie do spotkań:
-
- Unikatowe identyfikatory spotkań o długości 11 znaków
- Złożone hasła
- Poczekalnie z możliwością automatycznego zatwierdzania uczestników z danej domeny lub innej wybranej domeny
- Funkcja blokowania spotkań, która uniemożliwia wszystkim użytkownikom dołączenie do spotkania
- Możliwość usuwania uczestników
- Profile uwierzytelniania, które umożliwiają dostęp tylko zarejestrowanym użytkownikom lub ograniczają dostęp do wybranych domen poczty e-mail
- Narzędzie powiadamiające o zagrożonych spotkaniach może skanować wpisy w publicznych portalach społecznościowych i innych publicznych zasobach online w poszukiwaniu linków do spotkań Zoom Meetings
- Selektywne zaproszenia na spotkania: prowadzący może selektywnie zapraszać uczestników za pośrednictwem wiadomości e-mail, komunikatorów lub wiadomości SMS. Zapewnia to większą kontrolę nad dystrybucją informacji o dostępie do spotkania. Prowadzący może również utworzyć spotkanie, aby umożliwić dołączenie tylko członkom z określonej domeny e-mail.
- Bezpieczeństwo podczas spotkania: podczas spotkania Zoom bezpiecznie dostarcza w czasie rzeczywistym bogate treści multimedialne każdemu uczestnikowi spotkania Zoom Meetings. Cała zawartość udostępniana uczestnikom spotkania jest jedynie reprezentacją oryginalnych danych. Treści te są kodowane i optymalizowane pod kątem udostępniania przy użyciu bezpiecznej implementacji.
- Sterowanie przez prowadzącego: prowadzący spotkanie może włączać/wyłączać funkcje udostępniania zawartości, czatowania i zmiany nazwy uczestników spotkania.
- Zgłaszanie: możesz zgłaszać uczestników za niewłaściwe zachowanie podczas spotkań, zaznaczając uczestników, których chcesz zgłosić, dołączając wszelkie pisemne szczegóły i załączniki. Zgłoszenie to jest automatycznie wysyłane do zespołu ds. zaufania i bezpieczeństwa Zoom w celu oceny wszelkich nadużyć platformy i zablokowania użytkownika, jeśli to konieczne.
- Zabezpieczenia i kontrola w produkcie: sterowanie zabezpieczeniami w dedykowanej ikonie bezpieczeństwa w głównym interfejsie.
- Zabezpieczenia użytkownika oparte na rolach: prowadzący spotkanie ma następujące możliwości związane z zabezpieczeniami, dostępne przed spotkaniem:
-
- Bezpieczne logowanie przy użyciu standardowej nazwy użytkownika i hasła lub logowanie jednokrotne SAML
- Uruchamianie bezpiecznych spotkań z hasłem
- Planowanie bezpiecznych spotkań z hasłem
- Zapobieganie połączeniom zautomatyzowanym: wdrożono funkcję kontroli połączeń, aby pomóc użytkownikom ograniczyć niechciane połączenia zautomatyzowane. Właściciele kont i administratorzy mogą włączyć funkcję kontroli połączeń na koncie, w lokalizacji, grupie, dla użytkownika, przestrzeni wspólnej, automatycznej recepcjonistki, kolejki połączeń i grupy linii współdzielonych. Funkcja ta jest domyślnie włączona i odblokowana dla całego konta.
Opcje przetwarzania i przechowywania danych
Firma Zoom rozumie, że jej klienci chcą mieć wybór dotyczący centrów danych, które przetwarzają i przechowują ich dane.
Przesyłane dane i przetwarzanie: Zoom kieruje przesyłane dane klientów Zoom Meetings przez swoją globalną sieć kolokowanych centrów danych i publicznych centrów danych w chmurze (w tym Amazon Web Services („AWS”)). Usługi Zoom są zaprojektowane tak, aby informacje wchodzące do ekosystemu firmy były kierowane przez centrum danych znajdujące się najbliżej użytkownika wysyłającego lub odbierającego dane.
Właściciele i administratorzy płatnych kont mogą, na poziomie konta, grupy lub użytkownika, włączyć lub wyłączyć określone centra danych Zoom, które będą wykorzystywane do przetwarzania wideo, audio i udostępnionych przez uczestników spotkań i webinarów treści w czasie rzeczywistym podczas prowadzenia spotkań i webinarów. Centra danych w kraju obsługującym region, w którym konto zostało udostępnione, zostaną zablokowane jako wybrana opcja przetwarzania. Wybór centrum danych Zoom ma zastosowanie tylko wtedy, gdy konto prowadzi spotkanie lub webinar. Gdy konto prowadzące spotkanie lub webinar zrezygnuje z jakiegokolwiek centrum danych, dane wideo, audio i udostępnione treści wszystkich uczestników spotkania i webinaru w czasie rzeczywistym będą przetwarzane wyłącznie przez wybrane centrum danych Zoom. Zoom może jednak kierować ruch między centrami danych przy użyciu standardowych protokołów routingu sieciowego podczas przechodzenia przez prywatne połączenia sieciowe Zoom (tj. routing brzegowy). Dodatkowe informacje można znaleźć w tym artykule pomocy.
Przechowywanie danych: klienci mogą wybrać lokalizację przechowywania danych dla pewnych treści klienta.Treści klienta to informacje dostarczone przez klienta podczas korzystania z usługi Zoom, w tym wszystkie dane, które klient zdecyduje się nagrać lub udostępnić podczas spotkania albo webinaru, na przykład nagrania w chmurze, transkrypcje spotkań, transkrypcje czatu (podczas spotkania i stałe) oraz pliki wymieniane podczas spotkania lub na stałym kanale czatu.
Treści klienta są domyślnie przechowywane w Stanach Zjednoczonych. Klienci korzystający z płatnych kont mogą wybrać lokalizację przechowywania niektórych treści klienta dla swojego konta. Tylko właściciele lub administratorzy kont albo osoby z uprawnieniami do profilu konta klienta będą mogli zmienić to ustawienie. Dodatkowe informacje można znaleźć w tym artykule pomocy. Pamiętaj, że treści klienta, dane konta i dane diagnostyczne będą nadal przechowywane w Stanach Zjednoczonych.
Rygorystyczne protokoły dotyczące odpowiedzi na rządowe żądania dostępu do informacji
Firma Zoom jest zaangażowana w ochronę prywatności klientów i użytkowników. Przekazujemy dane użytkowników rządom tylko w odpowiedzi na prawne, prawidłowe żądania zgodnie z naszymi wytycznymi dotyczącymi żądań rządowych i odpowiednimi politykami prawnymi.
We wszystkich regionach geograficznych:
- Żądania rządowe muszą być wydawane w ramach odpowiednich przepisów prawa i regulacji, przez oficjalne kanały, w tym żądania z podpisanymi oficjalnymi dokumentami lub żądania e-mail przesyłane z oficjalnych adresów e-mail jednostek rządowych.
- Każde żądanie musi być jawne, niezbyt obszerne i musi mieć podstawę prawną. Odrzucimy lub zakwestionujemy żądania, które nie spełniają tych wymagań.
- W oparciu o nasze zasady i zaangażowanie w promowanie udanej współpracy na całym świecie zastosujemy dodatkową kontrolę niektórych wniosków rządowych dotyczących dostępu do informacji o użytkownikach.
Jeśli żądanie jest zbyt niejasne, firma Zoom zakwestionuje jego prawidłowość, aby zminimalizować spektrum przesyłanych informacji.
Firma Zoom zazwyczaj powiadamia użytkowników o rządowych wnioskach o udzielenie informacji, załączając kopię otrzymanego żądania, chyba że prawo zakazuje nam powiadamiania użytkownika. Prośby o wyjątki od powiadomienia użytkownika muszą zawierać opis koniecznych okoliczności lub potencjalnego niekorzystnego rezultatu powiadomienia.
Zwiększona transparentność
- Raporty dotyczące transparentności: firma Zoom opublikowała pierwszy raport dotyczący liczby wniosków otrzymanych od organizacji rządowych USA i międzynarodowych w grudniu 2020 r. (Raport dotyczący transparentności w zakresie wniosków rządowych). Chcemy, aby każdy kolejny raport dotyczący transparentności był lepszy od poprzedniego. Nasz najnowszy raport dotyczący transparentności jest dostępny tutaj. Dodatkowe raporty dotyczące transparentności będą udostępniane w Zoom Trust Center.
- Powiadomienia w produktach: firma Zoom ciągle aktualizuje działania, aby integrować powiadomienia dotyczące prywatności specyficzne dla funkcji w środowisku użytkownika Zoom. Dzięki temu użytkownicy będą mogli lepiej zrozumieć (w danym kontekście), kto może zobaczyć i udostępniać ich zawartość i informacje, które udostępniają firmie Zoom. Jeżeli na przykład użytkownik chce wiedzieć, kto może zobaczyć wysyłane przez niego wiadomości w funkcji czatu Zoom, może przejść do sekcji „Kto może zobaczyć Twoje wiadomości?”, aby dowiedzieć się, kto może uzyskać dostęp do wiadomości, które są wysyłane do wszystkich, a także do wiadomości prywatnych.
Firma Zoom projektuje swoje usługi w oparciu o wymagania rozporządzenia RODO
Firma Zoom dokłada wszelkich wysiłków, aby tworzyć funkcje produktów zgodnie z wymaganiami RODO i wzmacniać ochronę danych osobowych przez nasze usługi. Aby uzyskać więcej informacji o praktykach dotyczących danych, przeczytaj Oświadczenie o ochronie prywatności. Możesz też wysłać wiadomość e-mail na adres privacy@zoom.us, jeśli masz jakiekolwiek pytania dotyczące rozporządzenia RODO.