Дополнительное соглашение о конфиденциальности в связи с законами штатов США

Настоящее Дополнительное соглашение о конфиденциальности в связи с законами штатов США (далее — «Дополнительное соглашение») прилагается к Основному соглашению о подписке, Условиям обслуживания или Условиям обслуживания для партнеров по продажам (в зависимости от того, какой из документов задействован в вашем случае; применимый документ далее именуется «Соглашением») и излагает права и обязательства в отношении конфиденциальности данных в связи с законами отдельных штатов США. Термины, используемые в настоящем документе, но не определенные в нем, имеют значения, присвоенные им в Соглашении.

Раздел A. Общие положения. Положения раздела A настоящего Дополнительного соглашения распространяются на предоставление компанией Zoom и использование Клиентом Услуг в том случае, если Клиент является Компанией или Контролером, а Zoom обрабатывает Персональные данные Клиента в соответствии с Законом штата Калифорния о защите конфиденциальности потребителей (CCPA) или иными Применимыми законами штатов о защите данных.

1. Определения. В тексте настоящего Дополнительного соглашения термин «Клиент» означает Компанию или Контролера, который подписывается на Услуги Zoom. Термины, начинающиеся с заглавной буквы и задействованные в Разделе A без определения, имеют значение, присвоенное им в пунктах B (1) и C (1) ниже.
   
   
2. Аудиты и оценки.
   
   
   1. В целях подтверждения соответствия стандартам ISO 27001 и SOC 2 II типа компания Zoom вправе проводить аудиты с привлечением сторонних организаций, как описано ниже:
      
      
      1. Компания Zoom обязуется ежегодно проводить аудит соответствия критериям безопасности, доступности и конфиденциальности по стандарту SOC 2.
         
         
      2. Аудиты выполняются в соответствии со стандартами и нормами регулирующего или аккредитующего органа в зависимости от применимого контрольного стандарта или рамочной программы.
         
         
      3. Аудиты проводятся квалифицированными независимыми сторонними аудиторами по безопасности. Ответственность за выбор аудиторов и оплату их услуг возлагается на компанию Zoom.
         
         
      4. По результатам каждого аудита для Клиента будет составляться отчет («Отчет об аудите Zoom»), который компания Zoom обязана ежегодно предоставлять Клиенту по запросу. Содержимое отчета представляет собой Конфиденциальную информацию компании Zoom.
         
         
3. Ограничения на получение информации. Положения настоящего Дополнительного соглашения ни в коем случае не обязывают компанию Zoom раскрывать: (a) данные или информацию другого клиента Zoom или иной третьей стороны; (b) внутренние бухгалтерские или финансовые сведения; (c) собственные коммерческие тайны или (d) информацию, которая, по обоснованному мнению компании Zoom: (i) может поставить под угрозу безопасность сетей, систем или объектов Zoom; (ii) способна привести к нарушению компанией Zoom собственных обязательств по безопасности или конфиденциальности перед третьей стороной или (iii) запрашивается по причинам, выходящим за рамки настоящего Дополнительного соглашения. Компания Zoom вправе потребовать от Клиента принять ряд обоснованных условий Zoom (либо стороннего аудитора или оценщика), прежде чем предоставить ему (Клиенту) Отчет об аудите Zoom.
   
   
4. Удаление данных. Компания Zoom обязуется: (a) согласно требованиям Применимых к Клиенту законов штатов о защите данных и по указанию Клиента, по окончании предоставления Услуг удалить или вернуть Клиенту все Персональные данные либо, (b) согласно требованиям Закона штата Калифорния о защите конфиденциальности потребителей (CCPA), не хранить, не использовать и не разглашать Персональные данные по завершении или истечении срока действия отношений между Клиентом и компанией Zoom. Положения пункта A (4) («Удаление данных») ни в коем случае не обязывают компанию Zoom (i) удалять или возвращать данные, подлежащие хранению согласно применимым Законам, или (ii) возвращать Персональные данные, вместо того чтобы удалить их, в случаях, когда возврат не представляется технически возможным либо повлечет за собой существенные сложности или затраты (либо и то, и другое) для компании Zoom.
   
   

Раздел B. Штат Калифорния. Положения раздела B настоящего Дополнительного соглашения распространяются на предоставление компанией Zoom и использование Клиентом Услуг в том случае, если Клиент является Компанией, а Zoom обрабатывает Персональные данные от имени Клиента в соответствии с Законом штата Калифорния о защите конфиденциальности потребителей (CCPA).

1. Определения. В тексте раздела B настоящего Дополнительного соглашения: (a) термин «CCPA» означает Закон штата Калифорния о защите конфиденциальности потребителей от 2018 года, дополненный Законом штата Калифорния о правах на неприкосновенность частной жизни (CPRA) от 2020 года, а также все провозглашенные на их основании нормы; (b) термины «Компания», «Деловая цель», «Коммерческая цель», «Потребитель», «Обработка», «Продажа», «Поставщик услуг» и «Передача» используются в тех же значениях, что и в тексте CCPA; (c) термин «Персональные данные» означает «персональные данные», как описано в тексте CCPA, но распространяется только на сбор, получение, использование, раскрытие и иные операции по обработке личной информации, выполняемые Zoom как Компанией в рамках предоставления Клиенту Услуг согласно Соглашению.
   
   
2. Подтверждения и обязательства. Компания Zoom настоящим (a) подтверждает, что Персональные данные раскрываются Клиентом только в ограниченных и четко обозначенных целях предоставления Услуг, описанных в Форме заказа, а также в целях, указанных в тексте Соглашения; (b) обязуется исполнять требования, предъявляемые к Поставщикам услуг по закону CCPA, и обеспечить Персональным данным уровень защиты конфиденциальности, требуемый законом CCPA, включая требования по защите данных Компаниями; (c) признает, что, в соответствии с пунктом A (2) настоящего документа, Клиент вправе принимать необходимые обоснованные меры с целью удостовериться, что при использовании Персональных данных компания Zoom исполняет обязательства Клиента по закону CCPA; (d) обязуется оперативно уведомлять Клиента о любых своих решениях, в результате которых компания Zoom больше не сможет исполнять свои обязательства по закону CCPA; (e) соглашается с тем, что Клиент вправе, после предварительного уведомления, в соответствии с применимыми нормами принимать необходимые обоснованные меры по прекращению несанкционированного использования Персональных данных или устранению последствий такового использования путем запроса у компании Zoom необходимой (в разумных пределах) документации, подтверждающей, что компания Zoom больше не хранит или не использует Персональные данные, на которые распространяется действительный запрос на удаление.
   
   
3. Ограничения. Компания Zoom не имеет права (a) продавать или передавать Персональные данные; (b) хранить, использовать или разглашать Персональные данные с какой бы то ни было целью, кроме целей, описанных в пункте B (2) (a) выше или разрешенных законом CCPA, в том числе хранить, использовать или разглашать Персональные данные в Коммерческих целях, отличных от допустимых законом, или в целях обслуживания другой Компании; (c) хранить, использовать или разглашать Персональные данные за рамками прямых деловых отношений между Zoom и Клиентом, за исключением случаев, предусмотренных в CCPA; (d) объединять Персональные данные, полученные в рамках Соглашения, с Персональными данными, поступившими от другого лица или при прямом взаимодействии Zoom с Потребителем, которому они принадлежат, за исключением случаев, когда закон CCPA разрешает Поставщику услуг пользоваться подобной практикой. Настоящим компания Zoom подтверждает, что осознает свои обязательства по данному Дополнительному соглашению и обязуется их выполнять.
   
   
4. Аудиты, проверки и оценки. Согласно требованиям компании Zoom и положениям закона CCPA, при условии обоснованности запросов и соблюдения письменных соглашений, Клиент вправе за свой счет не чаще одного раза в 12 (двенадцать) месяцев проводить аудит, проверку или оценку деятельности компании Zoom в соответствии с пунктом A (2) («Аудиты и оценки») выше.
   
   
5. Запросы от Потребителей. После получения и проверки запроса от Потребителя Клиент обязан оперативно уведомить о запросе компанию Zoom и предоставить ей всю необходимую информацию. Компания Zoom, в свою очередь, обязана оперативно предпринять необходимые действия и предоставить сведения, которые Клиент вправе по объективным причинам запросить в связи с Персональными данными Потребителя, с целью помочь Клиенту выполнять запросы физических лиц на реализацию прав по закону CCPA, включая, помимо прочего, запросы на доступ, исправление, удаление, отказ от продажи или передачи принадлежащих им Персональных данных. Если запрос в Zoom поступит непосредственно от Потребителя Клиента, компания Zoom может либо (i) посоветовать Потребителю направить запрос Клиенту, либо (ii) обратиться к Клиенту с просьбой ответить Потребителю напрямую.
   
   

Раздел C. Вирджиния, Колорадо, Юта и другие штаты. Положения раздела C настоящего Дополнительного соглашения распространяются на предоставление компанией Zoom и использование Клиентом Услуг в том случае, если Клиент является Контролером Персональных данных, а Zoom обрабатывает Персональные данные Клиента в соответствии с Применимыми законами штатов о защите данных.

1. Определения. В тексте раздела C настоящего Дополнительного соглашения: (a) термин «Применимые законы штатов о защите данных» означает (i) Закон штата Колорадо о конфиденциальности» (CPA) от 2021 года, Закон штата Вирджиния о защите данных потребителей (VCDPA) от 2021 года или Закон штата Юта о защите данных потребителей (UCPA) от 2022 года (с поправками) либо (ii) любой иной применимый закон штата США, принятый с целью защиты Персональных данных, при условии, что Клиент выступает в качестве Контролера, а компания Zoom — в качестве Обработчика данных и условия настоящего Дополнительного соглашения отвечают требованиям таковых законов штатов; (b) термины «Контролер», «Персональные данные», «Обработка» и «Обработчик» имеют значения, указанные в Применимых законах штатов о защите данных; и (c) термин «Инструкции» имеет значение, приведенное ниже.
   
   
2. Обработка Персональных данных: роли, сфера действия и ответственность.
   
   
   1. Стороны подтверждают и признают следующее: Клиент является Контролером, а компания Zoom — Обработчиком Персональных данных Клиента.
      
      
   2. Настоящим Клиент как Контролер инструктирует компанию Zoom в качестве Обработчика выполнять от его (Клиента) имени перечисленные ниже действия (далее обобщенно — «Инструкции») строго в необходимых случаях и в пропорциональном масштабе:
      
      
      1. предоставлять и обновлять Услуги, лицензируемые, настраиваемые и используемые Клиентом и его пользователями, в том числе посредством применения Клиентом настроек Zoom, элементов управления администратора и других функциональных возможностей Услуг;
         
         
      2. осуществлять безопасный мониторинг Услуг в режиме реального времени;
         
         
      3. устранять неполадки, дефекты и ошибки;
         
         
      4. обеспечивать запрашиваемую Клиентом поддержку, в том числе применять сведения, полученные из запросов в службу поддержки от отдельных клиентов, на пользу всех клиентов Zoom, но при условии, что такие сведения будут анонимизированы; а также
         
         
      5. обрабатывать Персональные данные Клиента, как описано в Соглашении (в том числе в настоящем Дополнительном соглашении и приложении A к нему), а также в соответствии со всеми прочими задокументированными поручениями, предоставленными Клиентом и признанными компанией Zoom в качестве инструкций.
   3. В ситуациях, где Zoom выступает Обработчиком Персональных данных Клиента, компания Zoom обязуется обрабатывать вышеозначенные данные исключительно в соответствии с Инструкциями Клиента. Клиент, в свою очередь, обязан проследить за тем, чтобы его Инструкции для Zoom отвечали всем законам, правилам и нормам, применимым к его Персональным данным, и чтобы обработка в соответствии с его Инструкциями не вела к нарушению компанией Zoom Применимых законов штатов о защите данных. Клиент несет единоличную ответственность за точность, качество и законность (i) собственных Персональных данных, предоставляемых компании Zoom Клиентом или иным лицом от его (Клиента) имени; (ii) способа, которым Клиент получил свои Персональные данные; и (iii) Инструкций, предоставляемых компании Zoom в отношении Обработки своих Персональных данных. Клиент не вправе предоставлять или разглашать компании Zoom собственные Персональные данные в нарушение Соглашения или настоящего документа.
      
      
   4. Настоящим Клиент разрешает компании Zoom в ограниченном ряде обстоятельств проверять Персональные данные и отчитываться об их содержимом (например, в целях: выявления Материалов, содержащих сексуальное насилие над детьми, и оповещения соответствующих органов; исполнения иных применимых Законов; исполнения требований Руководства в отношении допустимого использования Zoom).
      
      
3. Уполномоченные лица. Компания Zoom обязана удостовериться, что все лица, наделенные правом обрабатывать Персональные данные Клиента, осведомлены о том, что эти данные носят конфиденциальный характер и должны храниться в тайне.
   
   
4. Субподрядчики и субобработчики данных. Настоящим Клиент в общих чертах предоставляет компании Zoom право в соответствии с пунктом C (4) привлекать субподрядчиков и субобработчиков в ситуациях, где Zoom выступает в качестве Обработчика данных.
   
   
   1. Настоящим Клиент разрешает компании Zoom привлекать к обработке его Персональных данных поставщиков, перечисленных на странице https://www.zoom.com/en/trust/subprocessors/.
      
      
   2. Компания Zoom имеет право отстранять, заменять или назначать дополнительных поставщиков. При условии, что Клиент подписан на обновления по адресу https://www.zoom.com/en/trust/subprocessors/, компания Zoom обязуется уведомлять Клиента о любых изменениях в сотрудничестве с поставщиками. Если того требуют Применимые законы штатов о защите данных, компания Zoom также обязана предоставить Клиенту возможность возразить против такового сотрудничества в соответствии с пунктами C (4) (d) и C (4) (e) настоящего документа.
      
      
   3. В случае возникновения экстренных ситуаций, связанных с предоставлением или защитой Услуг, компания Zoom не обязана оповещать Клиента об отстранении, замене или назначении субподрядчиков заранее, но должна обеспечить соответствующее уведомление в течение 7 (семи) рабочих дней после смены субподрядчика.
      
      
   4. В любом случае Клиент вправе в письменном виде выразить возражение против сотрудничества с субподрядчиком в течение 15 (пятнадцати) рабочих дней с момента получения вышеуказанного уведомления от компании Zoom.
      
      
   5. В случае, если Клиент возражает против привлечения нового субподрядчика, компания Zoom вправе урегулировать возражение одним из следующих способов (выбирается по собственному усмотрению компании Zoom):
      
      
      1. Компания Zoom может отказаться от планов по привлечению субподрядчика к работе с Персональными данными Клиента.
         
         
      2. Компания Zoom может принять корректирующие меры, затребованные Клиентом в возражении (то есть меры, устраняющие возражение Клиента), и продолжить пользоваться услугами субподрядчика в отношении Персональных данных Клиента.
         
         
      3. Компания Zoom вправе отказаться от предоставления, а Клиент — от использования (временно или полностью) отдельного аспекта Услуги, где в отношении Персональных данных Клиента будет задействован данный субподрядчик. Компания Zoom обязуется в письменном виде предоставить Клиенту одну или несколько коммерчески оправданных альтернатив таковому сотрудничеству (если они имеются), включая модификацию Услуг. Если компания Zoom по своему единоличному усмотрению не в состоянии предоставить одну или несколько альтернатив, упомянутых выше, либо если Клиент отвергнет предложенную альтернативу (альтернативы), компания Zoom и Клиент вправе расторгнуть Соглашение, включая настоящий документ, с предварительным письменным уведомлением за 60 (шестьдесят) дней.
         
         
      4. Если в течение 15 (пятнадцати) рабочих дней с момента отправки или публикации компанией Zoom соответствующего уведомления Клиент не выразит возражений против сотрудничества с новым субподрядчиком, последний будет считаться утвержденным.
         
         
   6. Компания Zoom обязуется привлекать субподрядчиков к обработке Персональных данных Клиента исключительно на основании письменного договора и требовать от них выполнения всех обязательств Zoom, переданных им в отношении задействованных Персональных данных. В случае, если субподрядчик не выполнит свои обязательства по защите данных, компания Zoom по-прежнему несет перед Клиентом ответственность за работу субподрядчика в той же степени, в какой сама компания отвечает за недобросовестные действия или упущения по настоящему Дополнительному соглашению.
      
      
5. Информационная безопасность. В контексте Обработки компания Zoom обязуется принимать адекватные технические и организационные меры по защите Персональных данных Клиента с целью обеспечить должный уровень безопасности в разрезе риска в соответствии с настоящим Дополнительным соглашением и прочими явно выраженными требованиями Соглашения.
   
   
6. Информация о соблюдении нормативно-правовых требований. По обоснованному запросу Клиента компания Zoom обязана предоставить Клиенту доступ к хранимой у нее объективной информации, которая отвечает требованиям применимых Законов и способна продемонстрировать соблюдение компанией Zoom обязательств по настоящему Дополнительному соглашению.

Приложение А

Описание характера обработки данных

От Контролера — Обработчику

Характер и цель обработки данных: в соответствии с Соглашением, включая настоящий документ, компания Zoom вправе обрабатывать Персональные данные Клиента в следующих целях:

• предоставлять и обновлять Услуги, лицензируемые, настраиваемые и используемые Клиентом и его пользователями, в том числе посредством применения Клиентом настроек Zoom, элементов управления администратора и других функциональных возможностей Услуг;
  
  
• осуществлять безопасный мониторинг Услуг в режиме реального времени;
  
  
• устранять неполадки, дефекты и ошибки;
  
  
• предоставление запрашиваемой Клиентом поддержки, в том числе применение сведений, полученных из запросов в службу поддержки от отдельных клиентов, на пользу всех клиентов Zoom, но при условии, что такие сведения будут анонимизированы;
  
  
• исполнение требований Соглашения и настоящего документа, а также прочих задокументированных поручений, предоставленных Клиентом и признанных компанией Zoom в качестве инструкций; а также
  
  
• исполнение юридических обязательств.
  
  

Тип обрабатываемых Персональных данных:

Информация о профиле учетной записи Zoom: данные, связанные с учетной записью Zoom конечного пользователя, включая изображение профиля, пароль, наименование компании и предпочтения Клиента. К ним относятся:

• уникальный идентификатор пользователя Zoom;
  
  
• изображение профиля (предоставляемое по желанию)
  
  

Диагностические данные:

Метаданные конференций: метрики использования Услуг, в том числе сведения о том, когда и как проводились конференции.

В эту категорию входят:

• журналы событий (включая выполненные действия, типы и подтипы событий, местонахождение событий в приложении, временные метки, универсальный уникальный идентификатор клиента (UUID) и идентификаторы пользователей и конференций);
  
  
• информация о сеансах конференций, включая частоту проведения, среднюю и фактическую продолжительность, количество, качество, сетевую активность и тип подключения;
  
  
• количество конференций;
  
  
• количество сеансов с демонстрацией экрана и без нее;
  
  
• количество участников;
  
  
• сведения об организаторе конференции;
  
  
• имя организатора;
  
  
• URL-адрес конференции;
  
  
• время начала и окончания конференции;
  
  
• способ подключения;
  
  
• информация о технических характеристиках, устранении неполадок и диагностике.
  
  

Телеметрические данные: сведения, собранные с помощью локально установленного программного обеспечения (данные из приложений и браузера, касающиеся развертывания Услуг Zoom и связанных с ними систем, а также иная техническая информация). Источники данных этой категории:

• имя компьютера;
  
  
• микрофон;
  
  
• колонка;
  
  
• камера;
  
  
• домен;
  
  
• идентификатор жесткого диска;
  
  
• тип сети;
  
  
• тип и версия операционной системы;
  
  
• версия клиента;
  
  
• MAC-адрес;
  
  
• журналы событий (включая выполненные действия, типы и подтипы событий, местонахождение событий в приложении, временные метки, универсальный уникальный идентификатор клиента (UUID) и идентификаторы пользователей и конференций);
  
  
• журналы обслуживания (информация о событиях и состояниях систем).
  
  

Прочие данные, созданные в ходе пользования Услугами:

• данные идентификации спама;
  
  
• push-уведомления;
  
  
• постоянные уникальные идентификаторы Zoom, такие как UUID (универсальный уникальный идентификатор пользователя) или идентификаторы пользователей, объединяемые с другими данными, источниками которых могут являться:
  
  
• IP-адрес;
  
  
• центр обработки данных;
  
  
• имя компьютера;
  
  
• микрофон;
  
  
• колонка;
  
  
• камера;
  
  
• домен;
  
  
• идентификатор жесткого диска;
  
  
• тип сети;
  
  
• тип и версия операционной системы;
  
  
• версия клиента;
  
  
• IP-адреса Сетевого пути.
  
  

Данные службы поддержки:

• имя контактного лица пользователя, запросившего поддержку, а также время, тема, описание проблемы и отзыв по окончании конференции (оценка «большой палец вверх/вниз»);
  
  
• предоставляемые пользователем вложения, в том числе записи, расшифровки или снимки экрана, отзывы по окончании конференций (развернутый комментарий в дополнение к жесту «большой палец вниз»).
  
  

Продолжительность Обработки: срок действия Соглашения, а также период до момента, когда компания Zoom удалит или вернет все Персональные данные Клиента, обрабатываемые от его имени.

Обновления

Компания Zoom вправе время от времени менять и дополнять настоящее Дополнительное соглашение о конфиденциальности. Все изменения в документе будут публиковаться здесь. Если вы хотите получать уведомления о внесении изменений или дополнений в настоящий документ, укажите свой адрес электронной почты в текстовом поле ниже.